הגדרת מדיניות IAM

בדף הזה מוסבר איך להגדיר מדיניות של ניהול זהויות והרשאות גישה (IAM) שמאפשרת לגורמים ליצור ולנהל משאבים של Certificate Authority Service. מידע נוסף על IAM זמין במאמר סקירה כללית על IAM.

כללי מדיניות כלליים של IAM

ב-CA Service, מעניקים תפקידי IAM למשתמשים או לחשבונות שירות כדי ליצור ולנהל משאבים של CA Service. אפשר להוסיף את קישורי התפקידים האלה ברמות הבאות:

  • ברמת מאגר רשויות ה-CA כדי לנהל גישה למאגר רשויות CA ספציפי ולרשויות ה-CA במאגר הזה.
  • ברמת הפרויקט או ברמת הארגון כדי להעניק גישה לכל מאגרי ה-CA בהיקף הזה.

תפקידים עוברים בירושה אם הם ניתנים ברמת משאב גבוהה יותר. לדוגמה, משתמש שקיבל את התפקיד 'מבקר' (roles/privateca.auditor) ברמת הפרויקט יכול לראות את כל המשאבים בפרויקט. כללי מדיניות IAM שמוגדרים במאגר רשויות אישורים (CA) עוברים בירושה לכל רשויות האישורים במאגר הזה.

אי אפשר להקצות תפקידי IAM לאישורים ולמשאבי CA.

כללי מדיניות מותנים ב-IAM

אם יש לכם מאגר CA משותף שעשוי לשמש כמה משתמשים שמורשים לבקש סוגים שונים של אישורים, אתם יכולים להגדיר תנאי IAM כדי לאכוף גישה מבוססת-מאפיינים לביצוע פעולות מסוימות במאגר CA.

קישורי תפקידים מותנים ב-IAM מאפשרים לתת לחשבונות משתמשים גישה למשאבים רק כשהם עומדים בתנאים ספציפיים. לדוגמה, אם התפקיד מבקש אישורים קשור למשתמש alice@example.com במאגר CA עם התנאי ששמות ה-SAN של ה-DNS המבוקשים הם קבוצת משנה של ['alice@example.com', 'bob@example.com'], אז המשתמש הזה יכול לבקש אישורים מאותו מאגר CA רק אם ה-SAN המבוקש הוא אחד משני הערכים המותרים האלה. אפשר להגדיר תנאים לקישורי IAM באמצעות ביטויים של Common Expression Language ‏ (CEL). התנאים האלה יכולים לעזור לכם להגביל עוד יותר את סוגי האישורים שמשתמש יכול לבקש. מידע על שימוש בביטויי CEL לתנאי IAM זמין במאמר ניב של Common Expression Language ‏ (CEL) למדיניות IAM.

לפני שמתחילים

  • מפעילים את ה-API.
  • כדי ליצור CA ומאגר CA, פועלים לפי ההוראות באחד ממדריכי ההתחלה המהירה.
  • אילו תפקידים זמינים ב-IAM בשירות רשות האישורים

הגדרה של קשרי מדיניות IAM ברמת הפרויקט

בתרחישים הבאים מתואר איך אפשר לתת למשתמשים גישה למשאבים של CA Service ברמת הפרויקט.

ניהול משאבים

לאדמין של שירות CA‏ (roles/privateca.admin) יש הרשאות לנהל את כל המשאבים של שירות CA ולהגדיר מדיניות IAM במאגרי CA ובתבניות אישורים.

כדי להקצות למשתמש את התפקיד CA Service Admin (roles/privateca.admin) ברמת הפרויקט, פועלים לפי ההוראות הבאות:

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף 'ניהול הזהויות והרשאות הגישה'

  2. בוחרים את הפרויקט.

  3. לוחצים על Grant access.

  4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

  5. ברשימה Select a role בוחרים בתפקיד CA Service Admin.

  6. לוחצים על Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: המזהה הייחודי של הפרויקט
  • MEMBER: המשתמש או חשבון השירות שרוצים להקצות להם את התפקיד 'אדמין של שירות CA'

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

יצירת משאבים

מנהל תפעול של שירות CA‏ (roles/privateca.caManager) יכול ליצור, לעדכן ולמחוק מאגרי CA ו-CAs. התפקיד הזה מאפשר גם למשתמש שקורא ל-API לבטל אישורים שהונפקו על ידי רשויות האישורים במאגר רשויות האישורים.

כדי להקצות למשתמש את התפקיד CA Service Operation Manager (roles/privateca.caManager) ברמת הפרויקט, פועלים לפי ההוראות הבאות:

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף 'ניהול הזהויות והרשאות הגישה'

  2. בוחרים את הפרויקט.

  3. לוחצים על Grant access.

  4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

  5. ברשימה Select a role בוחרים בתפקיד CA Service Operation Manager.

  6. לוחצים על Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: המזהה הייחודי של הפרויקט
  • MEMBER: המשתמש או חשבון השירות שרוצים להוסיף להם את תפקיד ה-IAM

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

מידע נוסף על הפקודה gcloud projects add-iam-policy-binding זמין במאמר gcloud projects add-iam-policy-binding.

אם רוצים ליצור רשות אישורים באמצעות מפתח קיים של Cloud KMS, צריך גם שהמתקשר יהיה אדמין של מפתח Cloud KMS.

לאדמין של Cloud KMS‏ (roles/cloudkms.admin) יש גישה מלאה לכל משאבי Cloud KMS, למעט פעולות ההצפנה והפענוח. מידע נוסף על תפקידי IAM ב-Cloud KMS מופיע במאמר Cloud KMS: הרשאות ותפקידים.

כדי להעניק למשתמש את התפקיד Cloud KMS Admin‏ (roles/cloudkms.admin), פועלים לפי ההוראות הבאות:

המסוף

  1. נכנסים לדף Cloud Key Management Service במסוף Google Cloud .

    מעבר אל Cloud Key Management Service

  2. בקטע Key rings, לוחצים על אוסף המפתחות שמכיל את מפתח החתימה של רשות האישורים.

  3. לוחצים על המפתח שהוא מפתח החתימה של רשות האישורים.

  4. אם חלונית המידע לא מוצגת, לוחצים על Show info panel. לוחצים על הרשאות.

  5. לוחצים על Add principal.

  6. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

  7. ברשימה Select a role בוחרים בתפקיד Cloud KMS Admin.

  8. לוחצים על Save.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

מחליפים את מה שכתוב בשדות הבאים:

  • KEY: המזהה הייחודי של המפתח
  • KEYRING: אוסף המפתחות שמכיל את המפתח. מידע נוסף על מחזיקי מפתחות זמין במאמר מחזיקי מפתחות.
  • MEMBER: המשתמש או חשבון השירות שרוצים להוסיף להם את הקישור ב-IAM

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

למידע נוסף על הפקודה gcloud kms keys add-iam-policy-binding, ראו gcloud kms keys add-iam-policy-binding.

ביקורת על משאבים

למפקח של שירות CA‏ (roles/privateca.auditor) יש הרשאת קריאה לכל המשאבים בשירות CA. כשמעניקים את ההרשאה הזו למאגר CA ספציפי, היא מאפשרת גישת קריאה למאגר ה-CA. אם מאגר ה-CA נמצא ברמת Enterprise, המשתמש עם התפקיד הזה יכול גם לראות אישורים ו-CRL שהונפקו על ידי רשויות ה-CA במאגר ה-CA. התפקיד הזה מיועד לאנשים שאחראים על אימות האבטחה והתפעול של מאגר ה-CA.

כדי להקצות למשתמש את התפקיד CA Service Auditor ‏ (roles/privateca.auditor) ברמת הפרויקט, פועלים לפי ההוראות הבאות:

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף 'ניהול הזהויות והרשאות הגישה'

  2. בוחרים את הפרויקט.

  3. לוחצים על Grant access.

  4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

  5. ברשימה Select a role בוחרים בתפקיד CA Service Auditor.

  6. לוחצים על Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: המזהה הייחודי של הפרויקט
  • MEMBER: המזהה הייחודי של המשתמש שרוצים להקצות לו את התפקיד CA Service Auditor (roles/privateca.auditor)

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

הגדרת קישורי מדיניות IAM ברמת המשאב

בקטע הזה מוסבר איך להגדיר קישורי מדיניות IAM למשאב מסוים ב-CA Service.

ניהול מאגרי הרשות שמנפיקה את האישורים (CA)

אתם יכולים להעניק את התפקיד CA Service Admin (roles/privateca.admin) ברמת המשאב כדי לנהל מאגר CA ספציפי או תבנית אישור ספציפית.

המסוף

  1. נכנסים לדף Certificate Authority Service במסוף Google Cloud .

    כניסה אל Certificate Authority Service

  2. לוחצים על הכרטיסייה CA pool manager (ניהול מאגר רשויות אישורים) ובוחרים את מאגר רשויות האישורים שרוצים להעניק לו הרשאות.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel. לוחצים על הרשאות.

  4. לוחצים על Add principal.

  5. בשדה New principals, מזינים את כתובת האימייל של החשבון הראשי או מזהה אחר.

  6. ברשימה Select a role בוחרים בתפקיד CA Service Admin.

  7. לוחצים על Save. חשבון המשתמש מקבל את התפקיד שנבחר במשאב של מאגר רשויות האישורים.

gcloud

כדי להגדיר את מדיניות IAM, מריצים את הפקודה הבאה:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

מחליפים את מה שכתוב בשדות הבאים:

  • POOL_ID: המזהה הייחודי של מאגר רשויות האישורים שעבורו רוצים להגדיר את מדיניות ה-IAM.
  • LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
  • MEMBER: המשתמש או חשבון השירות שרוצים להקצות להם את תפקיד ה-IAM

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

מידע נוסף על הפקודה gcloud privateca pools add-iam-policy-binding זמין במאמר gcloud privateca pools add-iam-policy-binding.

כדי להעניק את התפקיד אדמין של שירות CA בתבנית אישור, פועלים לפי אותם השלבים.

אפשר גם להעניק את התפקיד 'מנהל תפעול של שירות CA' (roles/privateca.caManager) במאגר CA ספציפי. התפקיד הזה מאפשר למתקשר לבטל אישורים שהונפקו על ידי רשויות אישורים במאגר רשויות האישורים הזה.

המסוף

  1. נכנסים לדף Certificate Authority Service במסוף Google Cloud .

    כניסה אל Certificate Authority Service

  2. לוחצים על הכרטיסייה CA pool manager (ניהול מאגר רשויות אישורים) ובוחרים את מאגר רשויות האישורים שרוצים להעניק לו הרשאות.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel. לוחצים על הרשאות.

  4. לוחצים על Add principal.

  5. בשדה New principals, מזינים את כתובת האימייל של החשבון הראשי או מזהה אחר.

  6. ברשימה Select a role בוחרים בתפקיד CA Service Operation Manager.

  7. לוחצים על Save. חשבון המשתמש מקבל את התפקיד שנבחר במשאב של מאגר רשויות האישורים שאליו שייכת רשות האישורים.

gcloud

כדי להעניק את התפקיד למאגר ספציפי של רשויות אישורים, מריצים את הפקודה הבאה של gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

מחליפים את מה שכתוב בשדות הבאים:

  • POOL_ID: המזהה הייחודי של מאגר רשויות האישורים
  • LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
  • MEMBER: המזהה הייחודי של המשתמש שרוצים להקצות לו את התפקיד 'מנהל תפעול של שירות CA' (roles/privateca.caManager)

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

מידע נוסף על הפקודה gcloud privateca pools add-iam-policy-binding זמין במאמר gcloud privateca pools add-iam-policy-binding.

יצירת אישורים

כדי לאפשר למשתמשים לשלוח בקשות להנפקת אישורים למאגר CA, צריך להעניק להם את התפקיד 'מנהל אישורים של שירות CA' (roles/privateca.certificateManager). התפקיד הזה מעניק גם הרשאת קריאה למשאבים של שירות CA. כדי לאפשר רק יצירת אישורים ללא הרשאת קריאה, צריך להעניק את התפקיד 'שליחת בקשות לאישור' (roles/privateca.certificateRequester) בשירות CA. מידע נוסף על תפקידי IAM בשירות CA זמין במאמר בקרת גישה באמצעות IAM.

כדי להעניק למשתמש גישה ליצירת אישורים עבור CA ספציפי, פועלים לפי ההוראות הבאות.

המסוף

  1. נכנסים לדף Certificate Authority Service במסוף Google Cloud .

    כניסה אל Certificate Authority Service

  2. לוחצים על CA pool manager (ניהול מאגר רשויות אישורים) ואז בוחרים את מאגר רשויות האישורים שרוצים להעניק לו הרשאות.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel. לוחצים על הרשאות.

  4. לוחצים על Add principal.

  5. בשדה New principals, מזינים את כתובת האימייל של החשבון הראשי או מזהה אחר.

  6. ברשימה Select a role בוחרים בתפקיד CA Service Certificate Manager.

  7. לוחצים על Save. חשבון המשתמש מקבל את התפקיד שנבחר במשאב של מאגר רשויות האישורים שאליו שייכת רשות האישורים.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

מחליפים את מה שכתוב בשדות הבאים:

  • POOL_ID: המזהה הייחודי של מאגר רשויות האישורים
  • LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
  • MEMBER: המזהה הייחודי של המשתמש שרוצים להקצות לו את התפקיד 'Certificate Manager של שירות CA' (roles/privateca.certificateManager)

הדגל --role מציין את תפקיד ה-IAM שרוצים להקצות לחבר.

הוספת קישורי מדיניות IAM לתבנית אישור

כדי להוסיף מדיניות IAM לתבנית מסוימת של אישור, פועלים לפי ההוראות הבאות:

המסוף

  1. נכנסים לדף Certificate Authority Service במסוף Google Cloud .

    כניסה אל Certificate Authority Service

  2. לוחצים על הכרטיסייה Template manager (ניהול תבניות) ובוחרים את תבנית האישור שרוצים להעניק לה הרשאות.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel. לוחצים על הרשאות.

  4. לוחצים על Add principal.

  5. בשדה New principals, מזינים את כתובת האימייל של החשבון הראשי או מזהה אחר.

  6. ברשימה הנפתחת Select a role בוחרים את התפקיד שרוצים לתת.

  7. לוחצים על Save.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: המיקום של תבנית האישור. רשימה מלאה של המיקומים זמינה במאמר בנושא מיקומים.
  • MEMBER: המשתמש או חשבון השירות שרוצים להוסיף להם את הקישור של מדיניות ה-IAM
  • ROLE: התפקיד שרוצים להקצות לחבר בקבוצה

מידע נוסף על הפקודה gcloud privateca templates add-iam-policy-binding זמין במאמר gcloud privateca templates add-iam-policy-binding.

מידע נוסף על שינוי תפקיד IAM של משתמש

הסרת קישורי מדיניות IAM

אפשר להסיר קישור מדיניות IAM קיים באמצעות הפקודה remove-iam-policy-binding ב-Google Cloud CLI.

כדי להסיר מדיניות IAM ממאגר מסוים של רשויות אישורים, משתמשים בפקודה gcloud הבאה:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
  • MEMBER: המשתמש או חשבון השירות שרוצים להסיר את הקישור של מדיניות ה-IAM שלהם
  • ROLE: התפקיד שרוצים להסיר מהחבר

מידע נוסף על הפקודה gcloud privateca pools remove-iam-policy-binding זמין במאמר gcloud privateca pools remove-iam-policy-binding.

כדי להסיר מדיניות IAM מתבנית מסוימת של אישור, משתמשים בפקודה gcloud הבאה:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: המיקום של תבנית האישור. רשימה מלאה של המיקומים זמינה במאמר בנושא מיקומים.
  • MEMBER: המשתמש או חשבון השירות שרוצים להסיר את הקישור של מדיניות ה-IAM שלהם
  • ROLE: התפקיד שרוצים להסיר מהחבר

מידע נוסף על הפקודה gcloud privateca templates remove-iam-policy-binding זמין במאמר gcloud privateca templates remove-iam-policy-binding.

מידע נוסף על הסרת תפקיד IAM של משתמש זמין במאמר ביטול גישה.

המאמרים הבאים