IAM-Richtlinien konfigurieren

Auf dieser Seite wird beschrieben, wie Sie IAM-Richtlinien (Identity and Access Management) konfigurieren, mit denen Mitglieder Certificate Authority Service-Ressourcen erstellen und verwalten können. Weitere Informationen zu IAM finden Sie unter Übersicht zu IAM.

Allgemeine IAM-Richtlinien

In CA Service weisen Sie Nutzern oder Dienstkonten IAM-Rollen zum Erstellen und Verwalten von CA Service-Ressourcen zu. Sie können diese Rollenbindungen auf den folgenden Ebenen hinzufügen:

  • Auf CA-Poolebene, um den Zugriff für einen bestimmten CA-Pool und für die Zertifizierungsstellen in diesem CA-Pool zu verwalten.
  • Auf Projektebene oder Organisationsebene, um Zugriff auf alle CA-Pools in diesem Bereich zu gewähren.

Rollen werden übernommen, wenn sie auf einer höheren Ressourcenebene gewährt werden. Ein Nutzer, dem beispielsweise die Rolle „Auditor“ (roles/privateca.auditor) auf Projektebene zugewiesen wurde, kann alle Ressourcen im Projekt ansehen. IAM-Richtlinien, die für einen CA-Pool festgelegt wurden, werden von allen Zertifizierungsstellen in diesem CA-Pool übernommen.

IAM-Rollen können nicht für Zertifikate und Zertifizierungsstellenressourcen gewährt werden.

Bedingte IAM-Richtlinien

Wenn Sie einen freigegebenen CA-Pool haben, der von mehreren Nutzern verwendet werden kann, die berechtigt sind, verschiedene Arten von Zertifikaten anzufordern, können Sie IAM-Bedingungen definieren, um den attributbasierten Zugriff zum Ausführen bestimmter Vorgänge für einen CA-Pool zu erzwingen.

Mit bedingten IAM-Rollenbindungen können Sie Zugriff auf Hauptkonten nur dann gewähren, wenn die angegebenen Bedingungen erfüllt sind. Wenn beispielsweise die Rolle „Zertifikatsanfragesteller“ für den Nutzer alice@example.com in einem CA-Pool mit der Bedingung gebunden ist, dass die angeforderten DNS-SANs eine Teilmenge von ['alice@example.com', 'bob@example.com'] sind, kann dieser Nutzer nur dann Zertifikate aus demselben CA-Pool anfordern, wenn das angeforderte SAN einer dieser beiden zulässigen Werte ist. Sie können Bedingungen für IAM-Bindungen mit Ausdrücken der Common Expression Language (CEL) festlegen. Mit diesen Bedingungen können Sie die Art der Zertifikate, die ein Nutzer anfordern kann, weiter einschränken. Informationen zur Verwendung von CEL-Ausdrücken für IAM-Bedingungen finden Sie unter Common Expression Language (CEL) für IAM-Richtlinien.

Hinweis

  • API aktivieren.
  • Erstellen Sie eine Zertifizierungsstelle und einen CA-Pool. Folgen Sie dazu der Anleitung in einem der Schnellstarts.
  • Informationen zu den für Certificate Authority Service verfügbaren IAM Rollen.

IAM-Richtlinienbindungen auf Projektebene konfigurieren

In den folgenden Szenarien wird beschrieben, wie Sie Nutzern Zugriff auf CA Service-Ressourcen auf Projektebene gewähren können.

Ressourcen verwalten

Ein CA Service-Administrator (roles/privateca.admin) hat die Berechtigungen, alle CA Service-Ressourcen zu verwalten und IAM-Richtlinien für CA-Pools und Zertifikatsvorlagen festzulegen.

So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service-Administrator“ (roles/privateca.admin) zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf „Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  5. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Administrator aus.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennung des Projekts.
  • MEMBER: der Nutzer oder das Dienstkonto, dem Sie die Rolle „CA Service-Administrator“ zuweisen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

Ressourcen erstellen

Ein CA Service-Betriebsmanager (roles/privateca.caManager) kann CA-Pools und Zertifizierungsstellen erstellen, aktualisieren und löschen. Mit dieser Rolle kann der Aufrufer auch Zertifikate widerrufen, die von den Zertifizierungsstellen im CA-Pool ausgestellt wurden.

So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service-Betriebsmanager“ (roles/privateca.caManager) zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf „Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  5. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Betriebsmanager aus.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennung des Projekts.
  • MEMBER: der Nutzer oder das Dienstkonto, dem Sie die IAM-Rolle hinzufügen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud projects add-iam-policy-binding finden Sie unter gcloud projects add-iam-policy-binding.

Optional muss der Aufrufer auch ein Administrator für den Cloud KMS-Schlüssel sein, wenn er eine Zertifizierungsstelle mit einem vorhandenen Cloud KMS-Schlüssel erstellt.

Der Cloud KMS-Administrator (roles/cloudkms.admin) hat vollständigen Zugriff auf alle Cloud KMS-Ressourcen, mit Ausnahme der Verschlüsselungs- und Entschlüsselungsvorgänge. Weitere Informationen zu IAM-Rollen für Cloud KMS finden Sie unter Cloud KMS: Berechtigungen und Rollen.

So weisen Sie einem Nutzer die Rolle „Cloud KMS-Administrator“ (roles/cloudkms.admin) zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Key Management Service auf.

    Cloud Key Management Service aufrufen

  2. Klicken Sie unter Schlüsselbunde auf den Schlüsselbund, der den CA-Signierschlüssel enthält.

  3. Klicken Sie auf den Schlüssel, der der CA-Signierschlüssel ist.

  4. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  5. Klicken Sie auf „Hauptkonto hinzufügen.

  6. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  7. Wählen Sie in der Liste Rolle auswählen die Rolle Cloud KMS-Administrator aus.

  8. Klicken Sie auf Speichern.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ersetzen Sie Folgendes:

  • KEY: die eindeutige Kennung des Schlüssels.
  • KEYRING: der Schlüsselbund, der den Schlüssel enthält. Weitere Informationen zu Schlüsselbunden finden Sie unter Schlüsselbunde.
  • MEMBER: der Nutzer oder das Dienstkonto, dem Sie die IAM-Bindung hinzufügen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud kms keys add-iam-policy-binding finden Sie unter gcloud kms keys add-iam-policy-binding.

Ressourcen prüfen

Ein CA Service-Auditor (roles/privateca.auditor) hat Lesezugriff auf alle Ressourcen in CA Service. Wenn die Rolle für einen bestimmten CA-Pool gewährt wird, erhält der Nutzer Lesezugriff auf den CA-Pool. Wenn sich der CA-Pool auf der Enterprise-Ebene befindet, kann der Nutzer mit dieser Rolle auch Zertifikate und Sperrlisten ansehen, die von den Zertifizierungsstellen im CA-Pool ausgestellt wurden. Weisen Sie diese Rolle Personen zu, die für die Validierung der Sicherheit und des Betriebs des CA-Pools verantwortlich sind.

So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service-Auditor“ (roles/privateca.auditor) zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf „Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  5. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Auditor aus.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennung des Projekts.
  • MEMBER: die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service-Auditor“ (roles/privateca.auditor) zuweisen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

IAM-Richtlinienbindungen auf Ressourcenebene konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie IAM-Richtlinienbindungen für eine bestimmte Ressource in CA Service konfigurieren können.

CA-Pools verwalten

Sie können die Rolle „CA Service-Administrator“ (roles/privateca.admin) auf Ressourcenebene zuweisen, um einen bestimmten CA-Pool oder eine bestimmte Zertifikatsvorlage zu verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA-Poolmanager und wählen Sie dann den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  4. Klicken Sie auf „Hauptkonto hinzufügen.

  5. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Administrator aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource zugewiesen.

gcloud

Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie festzulegen:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennung des CA-Pools, für den Sie die IAM-Richtlinie festlegen möchten.
  • LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, dem Sie die IAM-Rolle zuweisen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

Führen Sie dieselben Schritte aus, um die Rolle CA Service-Administrator für eine Zertifikatsvorlage zu gewähren.

Sie können die Rolle „CA Service-Betriebsmanager“ (roles/privateca.caManager) auch für einen bestimmten CA-Pool gewähren. Mit dieser Rolle kann der Aufrufer Zertifikate widerrufen, die von Zertifizierungsstellen in diesem CA-Pool ausgestellt wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA-Poolmanager und wählen Sie dann den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  4. Klicken Sie auf „Hauptkonto hinzufügen.

  5. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Betriebsmanager aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource zugewiesen, zu der die Zertifizierungsstelle gehört.

gcloud

Führen Sie den folgenden gcloud-Befehl aus, um die Rolle für einen bestimmten CA-Pool zu gewähren:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennung des CA-Pools.
  • LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service-Betriebsmanager“ (roles/privateca.caManager) zuweisen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

Zertifikate erstellen

Weisen Sie Nutzern die Rolle „CA Service-Zertifikatmanager“ (roles/privateca.certificateManager) zu, damit sie Anfragen zur Zertifikatsausstellung an einen CA-Pool senden können. Diese Rolle gewährt auch Lesezugriff auf CA Service-Ressourcen. Wenn Sie nur die Erstellung von Zertifikaten ohne Lesezugriff zulassen möchten, weisen Sie die Rolle „CA Service-Zertifikatsanfragesteller“ (roles/privateca.certificateRequester) zu. Weitere Informationen zu IAM-Rollen für CA Service finden Sie unter Zugriffssteuerung mit IAM.

So gewähren Sie dem Nutzer Zugriff zum Erstellen von Zertifikaten für eine bestimmte Zertifizierungsstelle:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf CA-Poolmanager und wählen Sie dann den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  4. Klicken Sie auf „Hauptkonto hinzufügen.

  5. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service-Zertifikatmanager aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource zugewiesen, zu der die Zertifizierungsstelle gehört.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennung des CA-Pools.
  • LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service-Zertifikatmanager“ (roles/privateca.certificateManager) zuweisen möchten.

Mit dem Flag --role wird die IAM-Rolle angegeben, die Sie dem Mitglied zuweisen möchten.

IAM-Richtlinienbindungen zu einer Zertifikatsvorlage hinzufügen

So fügen Sie einer bestimmten Zertifikatsvorlage eine IAM-Richtlinie hinzu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab Vorlagenmanager und wählen Sie dann die Zertifikatsvorlage aus, für die Sie Berechtigungen gewähren möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  4. Klicken Sie auf „Hauptkonto hinzufügen.

  5. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie in der Drop-down-Liste Rolle auswählen eine zu gewährende Rolle aus.

  7. Klicken Sie auf Speichern.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: der Standort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, dem Sie die IAM-Richtlinienbindung hinzufügen möchten.
  • ROLE: die Rolle, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca templates add-iam-policy-binding finden Sie unter gcloud privateca templates add-iam-policy-binding.

Weitere Informationen zum Ändern der IAM-Rolle eines Nutzers finden Sie unter Zugriff gewähren.

IAM-Richtlinienbindungen entfernen

Sie können eine vorhandene IAM-Richtlinienbindung mit dem Befehl remove-iam-policy-binding der Google Cloud CLI entfernen.

So entfernen Sie eine IAM-Richtlinie für einen bestimmten CA-Pool:gcloud

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, für das Sie die IAM-Richtlinienbindung entfernen möchten.
  • ROLE: die Rolle, die Sie für das Mitglied entfernen möchten.

Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding finden Sie unter gcloud privateca pools remove-iam-policy-binding.

So entfernen Sie eine IAM-Richtlinie für eine bestimmte Zertifikatsvorlage:gcloud

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: der Standort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, für das Sie die IAM-Richtlinienbindung entfernen möchten.
  • ROLE: die Rolle, die Sie für das Mitglied entfernen möchten.

Weitere Informationen zum Befehl gcloud privateca templates remove-iam-policy-binding finden Sie unter gcloud privateca templates remove-iam-policy-binding.

Weitere Informationen zum Entfernen einer IAM-Rolle für einen Nutzer finden Sie unter Zugriff widerrufen.

Nächste Schritte