Identity and Access Management (IAM) bietet verschiedene Arten von Richtlinien, mit denen Sie steuern können, auf welche Ressourcen Hauptkonten zugreifen können. Auf dieser Seite wird erläutert, wie sich die Verwendung und Verwaltung dieser Richtlinientypen unterscheidet.
IAM-Richtlinientypen in Google Cloud
IAM bietet die folgenden Richtlinientypen:
- Zulassungsrichtlinien
- Ablehnungsrichtlinien
- PAB-Richtlinien (Principal Access Boundary)
- Zugriffsrichtlinien
In der folgenden Tabelle werden die Unterschiede zwischen diesen Richtlinientypen zusammengefasst:
| Richtlinie | Richtlinienfunktion | API zum Verwalten der Richtlinie | Beziehung zwischen Richtlinien und Zielen | Methode zum Anhängen von Richtlinien an das Ziel | Übergeordnete Ressource der Richtlinie |
|---|---|---|---|---|---|
| Zulassungsrichtlinien | Hauptkonten Zugriff auf Ressourcen gewähren | Die API für die Ressource, für die Sie Zulassungsrichtlinien verwalten möchten |
1:1-Beziehung Jede Zulassungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann nur eine Zulassungsrichtlinie haben. |
Ressource beim Erstellen der Richtlinie angeben | Entspricht der Ressource, an die die Zulassungsrichtlinie angehängt ist |
| Ablehnungsrichtlinien | Verhindern, dass Hauptkonten bestimmte Berechtigungen verwenden können | Die IAM v2 API |
1:n-Beziehung Jede Ablehnungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann bis zu 500 Ablehnungsrichtlinien haben. |
Ressource beim Erstellen der Ablehnungsrichtlinie angeben | Entspricht der Ressource, an die die Ablehnungsrichtlinie angehängt ist |
| PAB-Richtlinien | Einschränken der Ressourcen, auf die ein Hauptkonto zugreifen darf | Die IAM v3 API |
N-zu-N-Beziehung Jede PAB-Richtlinie kann an eine unbegrenzte Anzahl von Hauptkontogruppen angehängt werden. An jede Hauptkontogruppe können bis zu 10 PAB-Richtlinien gebunden werden. |
Erstellen Sie eine Richtlinienbindung, mit der die PAB-Richtlinie an eine Hauptkontogruppe angehängt wird. | Das Unternehmen |
| Zugriffsrichtlinien | Hauptkonten Zugriff auf Ressourcen für unterstützte Dienste gewähren oder verweigern | Die IAM v3 API |
N-zu-N-Beziehung Jede Zugriffsrichtlinie kann an bis zu fünf Ressourcen angehängt werden. An jede Ressource können bis zu fünf Zugriffsrichtlinien gebunden werden. |
Erstellen Sie eine Zugriffsrichtlinienbindung, mit der die Zugriffsrichtlinie an die Ressource angehängt wird. | Das Projekt, der Ordner oder die Organisation, in der die Zugriffsrichtlinie erstellt wird |
In den folgenden Abschnitten finden Sie Details zu den einzelnen Richtlinientypen.
Richtlinien zum Gewähren des Zugriffs auf Hauptkonten
Verwenden Sie eine der folgenden Richtlinien, um Zugriff auf Ressourcen zu gewähren:
- Mit Zulassungsrichtlinien können Sie Zugriff auf beliebige Ressourcentypen gewähren.
- Mit Zugriffsrichtlinien Zugriff auf Eventarc-Ressourcen gewähren
Mit Zulassungsrichtlinien können Sie Zugriff auf Ressourcen in Google Cloudgewähren. Zulassungsrichtlinien bestehen aus Rollenbindungen und Metadaten. Rollenbindungen geben an, welche Hauptkonten eine bestimmte Rolle für die Ressource haben sollen.
Zulassungsrichtlinien sind immer mit einer einzelnen Ressource verknüpft. Nachdem Sie eine Zulassungsrichtlinie an eine Ressource angehängt haben, wird die Richtlinie von den Nachfolgerelementen dieser Ressource übernommen.
Wenn Sie eine Zulassungsrichtlinie erstellen und anwenden möchten, identifizieren Sie eine Ressource, die Zulassungsrichtlinien akzeptiert, und verwenden Sie dann die Methode setIamPolicy dieser Ressource, um die Zulassungsrichtlinie zu erstellen. Allen Hauptkonten in der „allow”-Richtlinie werden die angegebenen Rollen für die Ressource und alle Nachfolgerelemente der Ressource gewährt. An jede Ressource kann nur eine Zulassungsrichtlinie angehängt werden.
Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.
Mit Zugriffsrichtlinien können Sie den Zugriff auf Eventarc-Ressourcen steuern. Mit Zugriffsrichtlinien kann der Zugriff auf Ressourcen sowohl gewährt als auch verweigert werden. Wenn Sie eine Zugriffsrichtlinie erstellen und anwenden möchten, erstellen Sie zuerst eine Zugriffsrichtlinie und dann eine Richtlinienbindung, um diese Richtlinie mit einem Projekt mit Eventarc-Ressourcen zu verknüpfen.Jede Richtlinienbindung verknüpft eine Zugriffsrichtlinie mit einer Ressource. Eine Zugriffsrichtlinie kann an bis zu fünf Ressourcen gebunden werden. An jede Ressource können bis zu fünf Zugriffsrichtlinien gebunden werden. Wenn eine Zugriffsrichtlinie gelöscht wird, werden auch alle Richtlinienbindungen für diese Richtlinie gelöscht.
Weitere Informationen zur Verwendung von Zugriffsrichtlinien zur Steuerung des Zugriffs auf Eventarc-Ressourcen finden Sie in der Eventarc-Dokumentation.
Richtlinien zum Verweigern des Zugriffs auf Hauptkonten
Verwenden Sie eine der folgenden Optionen, um Prinzipalen den Zugriff auf Ressourcen zu verweigern:
- Mit Ablehnungsrichtlinien können Sie den Zugriff für jeden Ressourcentyp verweigern.
- Mit Zugriffsrichtlinien den Zugriff auf Eventarc-Ressourcen verweigern.
Ablehnungsrichtlinien sind wie Zulassungsrichtlinien immer mit einer einzelnen Ressource verknüpft. Sie können eine Ablehnungsrichtlinie an ein Projekt, einen Ordner oder eine Organisation anhängen. Dieses Projekt, dieser Ordner oder diese Organisation fungiert auch als übergeordnetes Element der Richtlinie in der Ressourcenhierarchie. Nachdem Sie eine Ablehnungsrichtlinie an eine Ressource angehängt haben, wird die Richtlinie von den Nachfolgerelementen dieser Ressource übernommen.
Zum Erstellen und Anwenden von Ablehnungsrichtlinien verwenden Sie die IAM v2 API. Wenn Sie eine Ablehnungsrichtlinie erstellen, geben Sie die Ressource an, an die die Ablehnungsrichtlinie angehängt wird. Alle Hauptkonten in der Ablehnungsrichtlinie können die angegebenen Berechtigungen nicht für den Zugriff auf diese Ressource und ihre Nachfolgerelemente verwenden. An jede Ressource können bis zu 500 Ablehnungsrichtlinien angehängt werden.
Weitere Informationen zu Ablehnungsrichtlinien finden Sie unter Ablehnungsrichtlinien.
Mit Zugriffsrichtlinien können Sie den Zugriff auf Eventarc-Ressourcen steuern. Mit Zugriffsrichtlinien kann der Zugriff auf Ressourcen sowohl gewährt als auch verweigert werden. Wenn Sie eine Zugriffsrichtlinie erstellen und anwenden möchten, erstellen Sie zuerst eine Zugriffsrichtlinie und dann eine Richtlinienbindung, um diese Richtlinie mit einem Projekt mit Eventarc-Ressourcen zu verknüpfen.Jede Richtlinienbindung verknüpft eine Zugriffsrichtlinie mit einer Ressource. Eine Zugriffsrichtlinie kann an bis zu fünf Ressourcen gebunden werden. An jede Ressource können bis zu fünf Zugriffsrichtlinien gebunden werden. Wenn eine Zugriffsrichtlinie gelöscht wird, werden auch alle Richtlinienbindungen für diese Richtlinie gelöscht.
Weitere Informationen zur Verwendung von Zugriffsrichtlinien zur Steuerung des Zugriffs auf Eventarc-Ressourcen finden Sie in der Eventarc-Dokumentation.
Richtlinien zum Einschränken der Ressourcen, auf die ein Hauptkonto zugreifen kann
Wenn Sie die Ressourcen einschränken möchten, auf die ein Hauptkonto zugreifen darf, verwenden Sie eine Principal Access Boundary-Richtlinie. Principal Access Boundary-Richtlinien sind in der IAM v3 API verfügbar.
Wenn Sie eine Principal Access Boundary-Richtlinie erstellen und anwenden möchten, erstellen Sie zuerst eine Principal Access Boundary-Richtlinie und dann eine Richtlinienbindung, um diese Richtlinie mit einem Hauptkontosatz zu verknüpfen.
Principal Access Boundary-Richtlinien sind immer untergeordnete Elemente Ihrer Organisation. Richtlinienbindungen für Principal Access Boundary-Richtlinie sind untergeordnete Elemente des Projekts, Ordners oder der Organisation, die dem in der Richtlinienbindung angegebenen Hauptkonto am nächsten ist.
Jede Richtlinienbindung bindet eine Principal Access Boundary-Richtlinie an einen Hauptkontosatz. Eine Richtlinie zur Begrenzung des Hauptkontozugriffs kann an eine beliebige Anzahl von Hauptkontogruppen gebunden werden. An jede Hauptkontogruppe können bis zu zehn Principal Access Boundary-Richtlinien gebunden werden. Wenn eine Principal Access Boundary-Richtlinie gelöscht wird, werden auch alle Richtlinienbindungen für diese Richtlinie gelöscht.
Weitere Informationen zu Principal Access Boundary-Richtlinien finden Sie unter Principal Access Boundary-Richtlinie.
Richtlinienbewertung
Wenn ein Hauptkonto versucht, auf eine Ressource zuzugreifen, wertet IAM alle relevanten Zulassungs-, Ablehnungs- und Principal Access Boundary-Richtlinie aus, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen darf. Wenn eine dieser Richtlinien angibt, dass das Hauptkonto nicht auf die Ressource zugreifen darf, verhindert IAM den Zugriff.
In der Realität wertet IAM alle Richtlinientypen gleichzeitig aus und stellt dann die Ergebnisse zusammen, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen kann. Es kann jedoch hilfreich sein, sich die Richtlinienauswertung in den folgenden Phasen vorzustellen:
-
IAM prüft alle relevanten Principal Access Boundary-Richtlinien, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen darf. Eine Principal Access Boundary-Richtlinie ist relevant, wenn Folgendes zutrifft:
- Die Richtlinie ist an eine Hauptkontogruppe gebunden, die das Hauptkonto enthält.
- Die Principal Access Boundary-Richtlinie blockiert die Berechtigung, die das Hauptkonto verwenden möchte. Die Berechtigungen, die von einer Principal Access Boundary-Richtlinie blockiert werden, hängen von der Version der Principal Access Boundary-Richtlinie ab. Sie geben die Richtlinienversion an, wenn Sie die Principal Access Boundary-Richtlinie erstellen. Weitere Informationen finden Sie unter Principal Access Boundary-Richtlinienversionen.
Nachdem die relevanten Principal Access Boundary-Richtlinien geprüft wurden, führt IAM einen der folgenden Schritte aus:
- Wenn die relevanten Principal Access Boundary-Richtlinien nicht die Ressource enthalten, auf die das Hauptkonto zuzugreifen versucht, oder wenn IAM die relevanten Principal Access Boundary-Richtlinien nicht auswerten kann, verhindert IAM den Zugriff auf die Ressource.
- Wenn die relevanten Principal Access Boundary-Richtlinien die Ressource enthalten, auf die das Hauptkonto zuzugreifen versucht, fährt IAM mit dem nächsten Schritt fort.
- Wenn es keine relevanten Principal Access Boundary-Richtlinien gibt, fährt IAM mit dem nächsten Schritt fort.
-
IAM prüft alle relevanten Ablehnungsrichtlinien, um festzustellen, ob die Berechtigung für das Hauptkonto abgelehnt wurde. Relevante Ablehnungsrichtlinien sind die Ablehnungsrichtlinien, die mit der Ressource verknüpft sind, sowie alle übernommenen Ablehnungsrichtlinien.
- Wenn irgendeine dieser Ablehnungsrichtlinien das Hauptkonto daran hindert, eine erforderliche Berechtigung zu verwenden, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn keine Ablehnungsrichtlinien verhindern, dass das Hauptkonto eine erforderliche Berechtigung verwendet, fährt IAM mit dem nächsten Schritt fort.
-
IAM prüft alle relevanten Zulassungsrichtlinien, um zu ermitteln, ob das Hauptkonto die erforderlichen Berechtigungen hat. Relevante Zulassungsrichtlinien sind die Zulassungsrichtlinien, die der Ressource zugeordnet sind, sowie alle übernommenen Zulassungsrichtlinien.
- Wenn der Hauptkonto nicht die erforderlichen Berechtigungen hat, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn das Hauptkonto die erforderlichen Berechtigungen hat, ermöglicht IAM ihm den Zugriff auf die Ressource.
Das folgende Diagramm zeigt diesen Richtlinienbewertungsablauf:
Nächste Schritte
- Weitere Informationen zu Zulassungsrichtlinien.
- Weitere Informationen zu Ablehnungsrichtlinien
- Weitere Informationen zu Principal Access Boundary-Richtlinien