שימוש במדיניות הארגון מותאמת אישית עבור כללי מדיניות של הרשאה

בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Google Cloud :

  • iam.googleapis.com/AllowPolicy

מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.

מידע על מדיניות הארגון ומגבלות

Google Cloud שירות של מדיניות הארגון מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

ב-Organization Policy יש אילוצים מנוהלים מובנים לשירותים שונים של Google Cloud . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

יתרונות

אתם יכולים להשתמש במדיניות ארגונית מותאמת אישית שמפנה למאפייני IAM כדי לשלוט באופן שבו אפשר לשנות את כללי מדיניות ההרשאה. באופן ספציפי, אתם יכולים לשלוט בפרטים הבאים:

  • למי אפשר להקצות תפקידים
  • מי יכול לבטל את התפקידים שלו
  • אילו תפקידים אפשר להקצות
  • אילו תפקידים אפשר לבטל

לדוגמה, אתם יכולים למנוע הקצאה של תפקידים שמכילים את המילה admin לחשבונות משתמשים שכתובות האימייל שלהם מסתיימות ב-@gmail.com.

מגבלות

  • יש כמה מגבלות על מדיניות ארגונית בהתאמה אישית במצב הרצה יבשה שמתייחסת למאפייני IAM. כלומר, יכול להיות שביומני ביקורת על הפרות שקשורות ל-method‏ setIamPolicy יחסרו השדות הבאים:

    • resourceName
    • serviceName
    • methodName

  • לא נוצרים יומני ביקורת לכל ההפרות של מדיניות ארגונית מותאמת אישית שקשורות ל-IAM. כלומר, אם מדיניות ארגונית מותאמת אישית גורמת לכך שפעולת setIamPolicy במשאב הארגון תיכשל, אזGoogle Cloud לא יוצר יומן ביקורת לאירוע הזה.

  • מדיניות ארגונית בהתאמה אישית שמפנה למאפייני IAM לא משפיעה על:

  • אפשר לשלוח למשתמשים הזמנות להפוך לבעלים, גם אם יש לכם מדיניות ארגונית בהתאמה אישית שמונעת את ההענקה של תפקיד הבעלים (roles/owner). עם זאת, מדיניות הארגון המותאמת אישית לא מונעת את שליחת ההזמנה, אבל היא מונעת מהמשתמשים המוזמנים לקבל את תפקיד הבעלים. אם משתמשים מוזמנים ינסו לאשר את ההזמנה, הם ייתקלו בשגיאה ולא יקבלו את תפקיד הבעלים.

  • פעולות מסוימות ב- Google Cloud, כמו יצירת משאבים או הפעלת ממשקי API, כוללות הענקת תפקיד אוטומטית לסוכן שירות או לחשבון שירות שמוגדר כברירת מחדל. אם פעולה מסוימת כוללת הענקה אוטומטית של תפקיד, ומדיניות ארגונית מונעת את הענקת התפקיד הזה, יכול להיות שהפעולה כולה תיכשל.

    אם נתקלתם בבעיה הזו, אתם יכולים להשתמש בתגים כדי להשבית באופן זמני את ההגבלה שמונעת את הקצאת התפקיד. לאחר מכן, מבצעים את הפעולה. אחרי שהפעולה מסתיימת, מפעילים מחדש את ההגבלה.

לפני שמתחילים

  • אם רוצים לבדוק כללי מדיניות ארגוניים בהתאמה אישית שמפנים למשאבי IAM, צריך ליצור פרויקט חדש. בדיקה של מדיניות הארגון הזו בפרויקט קיים עלולה לשבש את תהליכי העבודה של האבטחה.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול כללי מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:

  • orgpolicy.* בארגון
  • בודקים את מדיניות הארגון שמתוארת בדף הזה: resourcemanager.projects.setIamPolicy בפרויקט

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הגדרת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר אל מדיניות הארגון

  2. בבורר הפרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה מזהה האילוץ, מזינים את השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.disableGkeAutoUpgrade. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או מידע אישי רגיש במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור קריא לאנשים של האילוץ. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST‏ CREATE או על השיטות CREATE ו-UPDATE. אם אוכפים את המגבלה באמצעות השיטה UPDATE על משאב שמפר את המגבלה, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה.

    9. לא כל השירותים של Google Cloud תומכים בשתי השיטות. כדי לראות את השיטות הנתמכות לכל שירות, צריך לחפש את השירות בקטע שירותים נתמכים.

  9. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

    11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מחזיר את הערך true.

    הפעולה allow (אישור) פירושה שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  11. לוחצים על יצירת אילוץ.

    12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה למגבלה המותאמת אישית הזו.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
    2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
    - UPDATE     
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.denyProjectIAMAdmin. השדה הזה יכול להכיל עד 70 תווים.
    • RESOURCE_NAME: השם המוגדר במלואו של המשאב Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: iam.googleapis.com/AllowPolicy.
    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

      • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערכים האפשריים הם ALLOW ו-DENY.

      • פעולת ההרשאה פירושה שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, מלבד זה שמופיע במפורש בתנאי, ייחסם.

      הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.

    • DISPLAY_NAME: שם קריא לאילוץ. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון שלכם. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
    3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, ההגבלות המותאמות אישית יהיו זמינות כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
    4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר אל מדיניות הארגון

  2. בתפריט לבחירת פרויקט, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. ברשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון למשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף זמין במאמר הגדרת מדיניות ארגונית באמצעות תגים.
  9. כדי לאכוף את המדיניות של הארגון במצב הרצת בדיקה, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף מופיע במאמר יצירת מדיניות ארגונית במצב הרצה יבשה.
  10. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.denyProjectIAMAdmin.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

בדיקה של מדיניות הארגון המותאמת אישית

אופציונלי: אפשר לבדוק את מדיניות הארגון על ידי הגדרת המדיניות וניסיון לבצע פעולה שהמדיניות אמורה למנוע.

יצירת האילוץ

  1. שומרים את הקובץ הבא בשם constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    מחליפים את הערכים הבאים:

    • ORG_ID: המזהה המספרי שלGoogle Cloud הארגון.
    • MEMBER_EMAIL_ADDRESS: כתובת האימייל של הגורם המרכזי שרוצים להשתמש בו כדי לבדוק את האילוץ המותאם אישית. בזמן שהאילוץ פעיל, אי אפשר להקצות לחשבון המשתמש הזה את התפקיד 'אדמין IAM בפרויקט' (roles/resourcemanager.projectIamAdmin) בפרויקט שבו האילוץ נאכף.

  2. החלת האילוץ:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. מוודאים שהאילוץ קיים:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

יצירת המדיניות

  1. שומרים את הקובץ הבא בשם policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  2. החלת המדיניות:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. מוודאים שהמדיניות קיימת:

    gcloud org-policies list --project=PROJECT_ID

אחרי שמחילים את המדיניות, מחכים כשתי דקות עד ש- Google Cloud יתחיל לאכוף את המדיניות.

בדיקת המדיניות

מנסים להקצות את התפקיד 'אדמין IAM בפרויקט' (roles/resourcemanager.projectIamAdmin) לחשבון המשתמש שכתובת האימייל שלו נכללה באילוץ המותאם אישית. לפני שמריצים את הפקודה, מחליפים את הערכים הבאים:

  • PROJECT_ID: המזהה של Google Cloud הפרויקט שבו נאכף האילוץ
  • EMAIL_ADDRESS: כתובת האימייל של חשבון המשתמש שציינתם כשנוצר האילוץ של מדיניות הארגון.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

הפלט שיתקבל:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

דוגמאות למדיניות ארגון מותאמת אישית לתרחישי שימוש נפוצים

בטבלה הבאה מפורט התחביר של כמה אילוצים מותאמים אישית לתרחישי שימוש נפוצים.

בדוגמאות הבאות נעשה שימוש בפקודות המאקרו all ו-exists של CEL. מידע נוסף על פקודות מאקרו כאלה זמין במאמר פקודות מאקרו להערכת רשימות.

תיאור תחביר של אילוצים
לחסום את האפשרות להעניק תפקיד ספציפי. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
אפשר להעניק רק תפקידים ספציפיים. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
למנוע הקצאה של תפקידים שמתחילים ב-roles/storage.. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
למנוע את ביטול ההרשאות של תפקידים עם admin בשם. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
אפשר לאפשר רק לחשבונות משתמשים ספציפיים לקבל תפקידים. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
למנוע ביטול של תפקידים בחשבונות ראשיים ספציפיים. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
למנוע מחשבונות משתמשים עם כתובות אימייל שמסתיימות ב-@gmail.com לקבל תפקידים. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
לאפשר רק לתפקידים ספציפיים להינתן, ורק לחשבונות משתמשים ספציפיים. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
למנוע הקצאת תפקידים ב-Cloud Storage ל-allUsers ול-allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
למנוע הקצאת תפקידים לזהויות מחוץ לארגון. 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
אפשר לתת תפקידים רק לחשבונות שירות. 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles
למנוע הסרה של סוכני שירות בניהול Google מקישורי תפקידים. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

מדיניות ארגון מותנית

אפשר להגדיר מדיניות ארגונית מותנית בהתאמה אישית באמצעות תגים. לדוגמה, נניח שכתבתם את האילוץ המותאם אישית הבא כדי למנוע הקצאה של תפקידים שמתחילים ב-roles/storage.:

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

כדי לאכוף את האילוץ באופן מותנה, אפשר ליצור מדיניות ארגונית כמו זו שבהמשך:

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

מדיניות הארגון הזו מונעת מתן תפקידים שמתחילים ב-roles/storage. בכל משאב שיש לו גם את התג environment=dev.

משאבים נתמכים בניהול זהויות והרשאות גישה

‫IAM תומך במשאב AllowPolicy. למשאב הזה יש מאפיין resources.bindings, שמוחזר לכל השיטות שמשנות את מדיניות ההרשאות של המשאב. כל ה-methods שמשנים את מדיניות ההרשאות של משאב מסתיימים ב-setIamPolicy.

למאפיין resource.bindings יש את המבנה הבא, כאשר BINDINGS הוא מערך של קישורי תפקידים ששונו במהלך שינוי במדיניות ההרשאה:

{
  "bindings": {
    BINDINGS
  }
}

לכל קישור ב-resource.bindings יש את המבנה הבא, כאשר ROLE הוא שם התפקיד בקישור התפקידים ו-MEMBERS היא רשימה של מזהים של כל חשבונות המשתמשים שנוספו לקישור התפקידים או הוסרו ממנו:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

כדי לראות את הפורמטים האפשריים של מזהי חשבונות משתמשים, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

אפשר להעריך את מאפיין resource.bindings והשדות שלו רק באמצעות הפונקציות הנתמכות. אין תמיכה באופרטורים ובפונקציות אחרים, כמו ==, ‏ !=, ‏ in, ‏ contains, ‏ startsWith ו-endsWith.

פונקציות נתמכות

אפשר להשתמש בפונקציות CEL הבאות כדי להעריך תפקידים וחברים ספציפיים בהתאמה.

כדי להעריך את כל הקישורים במערך bindings או את כל החברים במערך members, משתמשים בפקודות המאקרו all ו-exists. מידע נוסף זמין בקטע פקודות מאקרו להערכת רשימות שבדף הזה.

אפשר גם להשתמש באופרטורים הלוגיים && (and) ו-|| (or) כדי לכתוב תנאים מרובי חלקים.

תפקיד תיאור
RoleNameMatches(
  role,
  roleNames: list
)   bool

הפונקציה מחזירה true אם התפקיד role תואם באופן מלא לפחות לאחד מהתפקידים שמופיעים ב-roleNames.

פרמטרים
role: התפקיד שרוצים להעריך.
roleNames: רשימה של שמות תפקידים להשוואה.
דוגמה

הפונקציה מחזירה את הערך true אם role בbinding שצוין הוא roles/storage.admin או roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

הפונקציה מחזירה את הערך true אם התפקיד role מתחיל לפחות באחת מהמחרוזות שמופיעות ב-rolePrefixes.

פרמטרים
role: התפקיד שרוצים להעריך.
rolePrefixes: רשימה של מחרוזות להתאמה לתחילת התפקיד.
דוגמה

הפונקציה מחזירה את הערך true אם role ב-binding שצוין מתחיל ב-roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

הפונקציה מחזירה את הערך true אם התפקיד role מסתיים לפחות באחת מהמחרוזות שמופיעות ב-roleSuffixes.

פרמטרים
role: התפקיד שרוצים להעריך.
roleSuffixes: רשימה של מחרוזות שצריך להתאים לסוף התפקיד.
דוגמה

הפונקציה מחזירה את הערך true אם role ב-binding שצוין מסתיים ב-.admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

הפונקציה מחזירה true אם התפקיד role מכיל לפחות אחת מהמחרוזות שמפורטות ב-roleSubstrings.

פרמטרים
role: התפקיד שרוצים להעריך.
roleSubstrings: רשימה של מחרוזות שצריך להתאים לכל חלק של התפקיד.
דוגמה

הפונקציה מחזירה את הערך true אם המחרוזת role בbinding שצוין מכילה את המחרוזת admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

הפונקציה מחזירה true אם הרכיב member תואם באופן מלא לפחות לאחד מהרכיבים שמופיעים ב-memberNames.

אם המזהה של member הוא כתובת אימייל, הפונקציה הזו בודקת את כתובת האימייל וגם את כל כינויי כתובת האימייל הזו.

פרמטרים
member: חבר המועדון שרוצים להעריך.
memberNames: רשימה של שמות חברים שצריך להתאים.
דוגמה

הפונקציה מחזירה את הערך true אם חבר המועדון member הוא rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

הפונקציה מחזירה true אם המחרוזת member מתחילה לפחות באחת מהמחרוזות שמופיעות ב-memberPrefixes.

אם המזהה של member הוא כתובת אימייל, הפונקציה הזו בודקת את כתובת האימייל וגם את כל כינויי כתובת האימייל הזו.

פרמטרים
member: חבר המועדון שרוצים להעריך.
memberPrefixes: רשימה של מחרוזות שמשמשות להתאמה של תחילת השם של החבר.
דוגמה

הפונקציה מחזירה את הערך true אם המחרוזת member מתחילה במחרוזת user:prod-: 

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

הפונקציה מחזירה את הערך true אם המחרוזת member מסתיימת לפחות באחת מהמחרוזות שמופיעות ב-memberSuffixes.

אם המזהה של member הוא כתובת אימייל, הפונקציה הזו בודקת את כתובת האימייל וגם את כל כינויי כתובת האימייל הזו.

פרמטרים
member: חבר המועדון שרוצים להעריך.
memberSuffixes: רשימה של מחרוזות שמשמשות להתאמה לסוף השם של החבר.
דוגמה

הפונקציה מחזירה את הערך true אם החבר member מסתיים ב-@example.com: 

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

הפונקציה מחזירה true אם החבר שייך לפחות לאחת מקבוצות המשתמשים שמופיעות ברשימה.

פרמטרים
member: חבר המועדון שרוצים להעריך.

principalSets: רשימה של קבוצות חשבונות משתמשים. כדי שהפונקציה תחזיר את הערך true, החבר חייב להיות לפחות באחת מקבוצות המנהלים האלה.

הקבוצה העיקרית הנתמכת היחידה היא קבוצת העיקריים של הארגון, שהפורמט שלה הוא //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. כשמשתמשים בהם בפונקציה MemberInPrincipalSet, קבוצת חשבונות המשתמשים הזו כוללת את חשבונות המשתמשים הבאים:

  • כל הזהויות בכל הדומיינים שמשויכים למספר הלקוח שלכם ב-Google Workspace
  • כל מאגרי הזהויות של כוח העבודה בארגון
  • כל חשבונות השירות ומאגרי הזהויות של כוח העבודה בכל פרויקט בארגון
  • כל סוכני השירות שמשויכים למשאבים בארגון.
דוגמה

הפונקציה מחזירה את הערך true אם החבר member שייך לארגון @example.com, שמזהה שלו הוא 123456789012: 

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

הפונקציה מחזירה את הערך true אם החבר הוא אחד מסוגי הגורמים המורשים שצוינו.

פרמטרים
member: חבר המועדון שרוצים להעריך.
principalType: רשימה של סוגי חשבונות משתמשים. כדי שהפונקציה תחזיר את הערך true, המשתמש צריך להיות אחד מסוגי החשבונות שמופיעים ברשימה. כדי לראות אילו סוגי חשבונות משתמש נתמכים, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים ב-MemberTypeMatches.
דוגמה

הפונקציה מחזירה את הערך true אם לחבר member יש את סוג הגורם המרכזי iam.googleapis.com/WorkspacePrincipal או iam.googleapis.com/WorkspaceGroup: 

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

פקודות מאקרו להערכת רשימות

משתמשים בפקודות המאקרו all ו-exists כדי להעריך ביטוי תנאי עבור רשימת פריטים.

מאקרו תיאור
list.all(
  item,
  conditionExpression
)   bool

הפונקציה מחזירה true אם הביטוי conditionExpression מחזיר את הערך true עבור כל item ב-list.

בדרך כלל משתמשים בפקודת המאקרו הזו בכללי מדיניות מותאמים אישית של הארגון עם actionType ALLOW. לדוגמה, אפשר להשתמש בפקודת המאקרו הזו כדי לוודא שפעולה מותרת רק אם כל הגורמים שהשתנו עומדים בתנאי.

פרמטרים
list: רשימת הפריטים להערכה.
item: הפריט ברשימה שרוצים להעריך. לדוגמה, אם קוראים לשיטה הזו ברשימה resource.bindings, צריך להשתמש בערך binding.
conditionExpression: ביטוי התנאי שמשמש להערכת כל item.
דוגמה

הפונקציה מחזירה true אם לכל הקישורים ב-resource.bindings יש תפקידים שמתחילים ב-roles/storage.. הפונקציה מחזירה false אם לאחד מהקישורים יש תפקידים שלא מתחילים ב-roles/storage.: 

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

הפונקציה מחזירה true אם הביטוי conditionExpression מחזיר true עבור כל item ב-list.

בדרך כלל משתמשים בפקודת המאקרו הזו בכללי מדיניות מותאמים אישית של הארגון עם actionType DENY. לדוגמה, אפשר להשתמש במאקרו הזה כדי לוודא שפעולה תידחה אם אחד מהמשתמשים ששונתה ההרשאה שלהם עומד בתנאי.

פרמטרים
list: רשימת הפריטים להערכה.
item: הפריט ברשימה שרוצים להעריך. לדוגמה, אם קוראים לשיטה הזו ברשימה resource.bindings, צריך להשתמש בערך binding.
conditionExpression: ביטוי התנאי שמשמש להערכת כל item.
דוגמה

הפונקציה מחזירה true אם לאחד מהקישורים ב-resource.bindings יש תפקידים שמתחילים ב-roles/storage.. הפונקציה מחזירה את הערך false אם לאף אחד מהקישורים אין תפקידים שמתחילים ב-roles/storage.: 

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

תנאים עם רשימות מקוננות

באופן כללי, אם התנאי כולל רשימות מקוננות, צריך להשתמש באותה פקודת מאקרו לכל הרשימות בתנאי.

מומלץ להביא בחשבון את הדוגמאות הבאות:

  • אם במדיניות שלכם מופיע actionType ALLOW, צריך להשתמש בפקודת המאקרו all גם ברשימה members וגם ברשימה bindings כדי לוודא ששינויים במדיניות מותרים רק אם כל החברים בכל הקישורים ששונו עומדים בתנאי.
  • אם במדיניות שלכם יש את actionType DENY, צריך להשתמש בפקודת המאקרו exists גם ברשימה members וגם ברשימה bindings כדי לוודא ששינויים במדיניות לא יתאפשרו אם חבר כלשהו בהתאמה ששונתה עומד בתנאי.

שילוב פקודות מאקרו בתנאי אחד עלול לגרום לתנאי שלא יתנהג כמו שרציתם.

לדוגמה, נניח שרוצים למנוע הקצאת תפקידים לחברים מחוץ לארגון example.com. לארגון example.com יש את המזהה 123456789012.

כדי להשיג את המטרה הזו, כותבים את התנאי הבא:

לא מומלץ – תנאי שהוגדר בצורה שגויה

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

נראה שהתנאי הזה מונע הקצאת תפקידים לחברים מחוץ לארגון example.com. עם זאת, התנאי יחזיר את הערך true אם כל חבר בכל אחד מהקשרים ששונתנו לתפקידים נמצא בארגון example.com. לכן, אתם עדיין יכולים להעניק תפקידים לחברים מחוץ לארגון example.com אם אתם מעניקים את אותו תפקיד גם לחבר בארגון example.com.

לדוגמה, התנאי מחזיר את הערך true עבור קבוצת הקישורים הבאה, למרות שאחד מהחברים לא שייך לארגון example.com:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

במקום זאת, צריך לכתוב תנאי כמו זה:

מומלץ – תנאי שהוגדר בצורה נכונה

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

שימוש בפקודת המאקרו all גם למערך members.bindings וגם למערך resource.bindings מבטיח שהתנאי יחזיר את הערך true רק אם כל החברים בכל ההתאמות נמצאים בקבוצת המשתמשים example.com.

סוגי חשבונות משתמש נתמכים עבור MemberTypeMatches

בפונקציה MemberTypeMatches צריך לציין את סוג החשבון שהמשתמש שצוין צריך להיות שייך אליו.

בטבלה הבאה מפורטים סוגי חשבונות המשתמשים שאפשר להזין, ותיאור של מה שכל סוג מייצג. בנוסף, מפורטים בה המזהים של החשבונות הראשיים שמתאימים לכל סוג של חשבון ראשי. המזהים האלה הם הערכים שמשמשים במדיניות IAM.

סוג חשבון המשתמש תיאור מזהים של חשבונות משתמשים
iam.googleapis.com/ConsumerPrincipal חשבון פרטי ב-Google. כתובות האימייל של החשבונות האלה בדרך כלל מסתיימות ב-gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal חשבון Google שמשויך לחשבון Cloud Identity או לחשבון Google Workspace. החשבונות האלה נקראים גם חשבונות משתמשים מנוהלים. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup קבוצת Google שנוצרה באמצעות חשבון Google פרטי. הקבוצות האלה לא בבעלות של חשבון Cloud Identity או Google Workspace. כתובות האימייל של הקבוצות האלה בדרך כלל מסתיימות ב-googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup קבוצה ב-Google שבבעלות חשבון Cloud Identity או Google Workspace. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain חשבון Cloud Identity או Google Workspace. domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal חשבון משתמש יחיד במאגר זהויות של כוח עבודה. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet קבוצת ישויות (principal) שמכילה קבוצה של זהויות במאגר זהויות של כוח עבודה. לדוגמה, קבוצת נציגים שמכילה את כל הנציגים במאגר זהויות של כוח עבודה.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal זהות יחידה במאגר זהויות של עומסי עבודה principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet קבוצת ישויות (principal) שמכילה קבוצה של זהויות במאגר זהויות של עומסי עבודה. לדוגמה, קבוצת ישויות מורשות שמכילה את כל הישויות המורשות במאגר זהויות של עומסי עבודה.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

כל חשבון שירות. חשבון שירות הוא סוג מיוחד של חשבון שמייצג עומס עבודה ולא משתמש אנושי.

במסגרת הפונקציה MemberTypeMatches, סוג החשבון הזה לא כולל סוכני שירות.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent כל סוכן שירות. סוכן שירות הוא סוג מיוחד של חשבון שירות ש- Google Cloud יוצר ומנהל. כשמעניקים תפקידים בפרויקטים לסוכני שירות, שירותי Google Cloud יכולים לבצע פעולות בשמכם. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals חשבונות המשתמשים allUsers ו-allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference חשבונות משתמשים שמוגדרים על סמך התפקיד שהוקצה להם. הערכים האלה נקראים גם ערכי נוחות.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal משאב עם זהות מובנית. אחד ממזהי חשבון המשתמש שמפורטים במאמר מזהים של חשבונות משתמשים למשאבים בודדים.
iam.googleapis.com/ResourcePrincipalSet משאבים עם זהויות מובנות שחולקים מאפיינים מסוימים, כמו סוג או ישות אב. אחד מהמזהים שמפורטים במאמר מזהים של חשבונות משתמשים עבור קבוצות של משאבים.
iam.googleapis.com/AgentIdentity זהות נציג אחת.
  • principal://agents.global.org-ORG_ID.system.id.goog/SUBJECT_ATTRIBUTE_VALUE
  • principal://agents.global.proj-PROJECT_NUMBER.system.id.goog/SUBJECT_ATTRIBUTE_VALUE
  • principal://agents-nonprod.global.org-ORG_ID.system.id.goog/SUBJECT_ATTRIBUTE_VALUE
  • principal://agents-nonprod.global.proj-PROJECT_NUMBER.system.id.goog/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/AgentIdentitySet קבוצת חשבונות שכוללת קבוצה של זהויות של סוכנים.
  • principalSet://agents.global.org-ORG_ID.system.id.goog/*
  • principalSet://agents.global.proj-PROJECT_NUMBER.system.id.goog/*
  • principalSet://agents-nonprod.global.org-ORG_ID.system.id.goog/*
  • principalSet://agents-nonprod.global.proj-PROJECT_NUMBER.system.id.goog/*
  • principalSet://agents.global.org-ORG_ID.system.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://agents.global.proj-PROJECT_NUMBER.system.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://agents-nonprod.global.org-ORG_ID.system.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://agents-nonprod.global.proj-PROJECT_NUMBER.system.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE

לדוגמה: principalSet://agents.global.org-123456789012.system.id.goog/*

המאמרים הבאים