במסגרת ניהול זהויות והרשאות גישה (IAM) יש כמה סוגים של כללי מדיניות שיעזרו לכם לקבוע לאילו משאבים יש למשתמשים גישה. בדף הזה נסביר את ההבדלים בין סוגי המדיניות האלה מבחינת השימוש והניהול שלהם.
סוגים של כללי מדיניות IAM ב- Google Cloud
IAM מציע את סוגי המדיניות הבאים:
- מדיניות ההרשאות
- מדיניות דחייה
- מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
- מדיניות גישה
בטבלה הבאה מסוכמים ההבדלים בין סוגי המדיניות האלה:
| מדיניות | פונקציית המדיניות | API שמשמש לניהול המדיניות | הקשר בין מדיניות ליעדים | שיטה לצירוף כללי מדיניות ליעד | משאב ההורה של המדיניות |
|---|---|---|---|---|---|
| מדיניות ההרשאות | הענקת גישה למשאבים לחשבונות משתמשים | ממשק ה-API של המשאב שרוצים לנהל את מדיניות ההרשאות שלו |
קשר ישיר כל מדיניות הרשאות מצורפת למשאב אחד, וכל משאב יכול להכיל רק מדיניות הרשאות אחת. |
ציון משאב כשיוצרים את המדיניות | זהה למשאב שמצורפת אליו מדיניות ההרשאה |
| מדיניות דחייה | איך מוודאים שחשבונות משתמשים לא יכולים להשתמש בהרשאות ספציפיות | IAM v2 API |
קשר מסוג 'אחד לרבים' כל מדיניות דחייה מצורפת למשאב אחד, ולכל משאב יכולים להיות עד 500 כללי מדיניות דחייה. |
ציון משאב כשיוצרים מדיניות דחייה | זהה למשאב שמצורפת אליו מדיניות הדחייה |
| כללי מדיניות בנושא PAB | הגבלת המשאבים שחשבון יכול לגשת אליהם | IAM v3 API |
קשר רבים לרבים כל מדיניות PAB יכולה להיות מצורפת למספר בלתי מוגבל של קבוצות חשבונות משתמשים. לכל קבוצת חשבונות משתמשים יכולות להיות קשורות עד 10 מדיניות PAB. |
יצירת קישור למדיניות שמקשר את מדיניות ה-PAB לקבוצת חשבונות ראשיים | הארגון |
| מדיניות גישה | הענקת גישה לחשבונות משתמשים למשאבים בשירותים נתמכים או דחיית הגישה שלהם | IAM v3 API |
קשר רבים לרבים אפשר לצרף כל מדיניות גישה לעד 5 משאבים, ולכל משאב יכולות להיות קשורות עד 5 מדיניות גישה. |
יצירת קשר בין מדיניות גישה לבין משאב | הפרויקט, התיקייה או הארגון שבהם נוצרה מדיניות הגישה |
בקטעים הבאים מפורט כל סוג מדיניות.
מדיניות למתן גישה לחשבונות משתמשים
כדי להעניק לחשבונות ראשיים גישה למשאבים, משתמשים באחת מהמדיניות הבאות:
- אפשר להשתמש במדיניות הרשאות כדי להעניק גישה לכל סוג של משאב.
- משתמשים במדיניות גישה כדי להעניק גישה למשאבי Eventarc.
מדיניות הרשאות מאפשרת לכם להעניק גישה למשאבים ב- Google Cloud. מדיניות הרשאות מורכבת מקישורי תפקידים וממטא-נתונים. קישורי תפקידים מציינים לאילו חשבונות משתמשים צריכה להיות גישה לתפקיד מסוים במשאב.
מדיניות הרשאות תמיד מצורפת למשאב יחיד. אחרי שמצרפים מדיניות הרשאה למשאב, המדיניות עוברת בירושה לצאצאים של המשאב.
כדי ליצור מדיניות הרשאות ולהחיל אותה, צריך לזהות משאב שמקבל מדיניות הרשאות, ואז להשתמש ב-method setIamPolicy של המשאב כדי ליצור את מדיניות ההרשאות. כל חשבונות המשתמשים במדיניות ההרשאות מקבלים את התפקידים שצוינו במשאב ובכל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים. לכל משאב יכולה להיות מצורפת רק מדיניות הרשאה אחת.
כל קישור מדיניות מקשר בין מדיניות גישה אחת למשאב אחד. אפשר לקשר מדיניות גישה לעד 5 משאבים. לכל משאב יכולים להיות עד 5 כללי מדיניות גישה שמשויכים אליו. כשמדיניות גישה נמחקת, גם כל קישורי המדיניות שקשורים למדיניות הזו נמחקים.
מידע נוסף על שימוש במדיניות גישה כדי לשלוט בגישה למשאבי Eventarc זמין במסמכי Eventarc.
כללי מדיניות לדחיית גישה לחשבונות משתמשים
כדי לשלול מהגורמים הראשיים גישה למשאבים, אפשר להשתמש באחת מהאפשרויות הבאות:
- אפשר להשתמש בכללי מדיניות דחייה כדי לדחות גישה לכל סוג משאב.
- להשתמש במדיניות גישה כדי לדחות גישה למשאבי Eventarc.
כללי מדיניות הדחייה, כמו כללי מדיניות ההרשאה, תמיד מצורפים למשאב יחיד. אפשר לצרף מדיניות דחייה לפרויקט, לתיקייה או לארגון. הפרויקט, התיקייה או הארגון האלה משמשים גם כהורה של המדיניות בהיררכיית המשאבים. אחרי שמצרפים מדיניות דחייה למשאב, המדיניות עוברת בירושה לצאצאים של המשאב.
כדי ליצור ולהחיל מדיניות דחייה, משתמשים ב-IAM v2 API. כשיוצרים מדיניות דחייה, מציינים את המשאב שמדיניות הדחייה מצורפת אליו. כל חשבונות המשתמש במדיניות הדחייה לא יכולים להשתמש בהרשאות שצוינו כדי לגשת למשאב הזה ולכל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים. לכל משאב יכולים להיות מצורפים עד 500 כללי מדיניות דחייה.
מידע נוסף על מדיניות דחייה זמין במאמר מדיניות דחייה.
מדיניות גישה מאפשרת לכם לשלוט בגישה למשאבי Eventarc. מדיניות הגישה יכולה לאפשר גישה למשאבים וגם לחסום גישה למשאבים. כדי ליצור ולהחיל מדיניות גישה, יוצרים מדיניות גישה ואז יוצרים קשר בין המדיניות לבין פרויקט עם משאבי Eventarc.כל קישור מדיניות מקשר בין מדיניות גישה אחת למשאב אחד. אפשר לקשר מדיניות גישה לעד 5 משאבים. לכל משאב יכולים להיות עד 5 כללי מדיניות גישה שמשויכים אליו. כשמדיניות גישה נמחקת, גם כל קישורי המדיניות שקשורים למדיניות הזו נמחקים.
מידע נוסף על שימוש במדיניות גישה כדי לשלוט בגישה למשאבי Eventarc זמין במסמכי Eventarc.
מדיניות להגבלת המשאבים שחשבון משתמש יכול לגשת אליהם
כדי להגביל את המשאבים שחשבון משתמש יכול לגשת אליהם, משתמשים במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB). מדיניות לקביעת גבול הגישה לחשבונות משתמשים זמינה ב-IAM v3 API.
כדי ליצור ולהחיל מדיניות לקביעת גבול הגישה לחשבונות משתמשים, יוצרים מדיניות לקביעת גבול הגישה לחשבונות משתמשים, ואז יוצרים קישור למדיניות כדי לקשר את המדיניות הזו לקבוצת חשבונות משתמשים.
מדיניות גבולות הגישה של ישויות הן תמיד צאצאים של הארגון שלכם. קשרי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) הם צאצאים של הפרויקט, התיקייה או הארגון שהכי קרובים לחשבון המשתמש שמוגדר בהם.
כל קישור מדיניות מקשר מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים לקבוצה אחת של חשבונות משתמשים. אפשר לקשר מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) לכל מספר של קבוצות חשבונות משתמשים. כל קבוצת חשבונות משתמשים יכולה לכלול עד 10 כללי מדיניות לקביעת גבול הגישה לחשבונות משתמשים. כשמוחקים מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), נמחקים גם כל קישורי המדיניות שקשורים למדיניות הזו.
מידע נוסף על מדיניות לקביעת גבול הגישה לחשבונות משתמשים זמין במאמר מדיניות לקביעת גבול הגישה לחשבונות משתמשים.
הערכת מדיניות
כשחשבון משתמש מנסה לגשת למשאב, IAM מעריך את כל כללי מדיניות הדחייה, ההרשאה והמדיניות לקביעת גבול הגישה לחשבונות משתמשים הרלוונטיים כדי לראות אם לחשבון המשתמש מותר לגשת למשאב. אם אחת מהמדיניות האלה מציינת שחשבון המשתמש לא אמור להיות מסוגל לגשת למשאב, IAM מונע את הגישה.
בפועל, מערכת IAM מעריכה את כל סוגי המדיניות בו-זמנית, ואז מרכזת את התוצאות כדי לקבוע אם לחשבון המשתמש יש גישה למשאב. עם זאת, כדאי לחשוב על הערכת המדיניות הזו בשלבים הבאים:
-
IAM בודק את כל כללי המדיניות הרלוונטיים לקביעת גבול הגישה לחשבונות משתמשים כדי לראות אם לחשבון המשתמש יש הרשאה לגשת למשאב. מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) רלוונטית אם מתקיימים התנאים הבאים:
- המדיניות מקושרת לקבוצת חשבונות משתמשים שכוללת את החשבון הראשי
- המדיניות לקביעת גבול הגישה לחשבונות משתמשים חוסמת את ההרשאה שחשבון המשתמש מנסה להשתמש בה. ההרשאות שהמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) חוסמת תלויות בגרסה של המדיניות. כשיוצרים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים, מציינים את גרסת המדיניות. מידע נוסף זמין במאמר בנושא גרסאות של מדיניות גבולות הגישה של חשבונות משתמש.
אחרי בדיקת המדיניות הרלוונטית לקביעת גבול הגישה לחשבונות משתמשים, מתבצעת אחת מהפעולות הבאות ב-IAM:
- אם המשאב שאליו חשבון המשתמש מנסה לגשת לא נכלל במדיניות הרלוונטית לקביעת גבול הגישה לחשבונות משתמשים, או אם IAM לא יכול להעריך את המדיניות הרלוונטית לקביעת גבול הגישה לחשבונות משתמשים, אז IAM מונע ממנו לגשת למשאב.
- אם המשאב שחשבון המשתמש מנסה לגשת אליו כלול במדיניות הרלוונטית לקביעת גבול הגישה לחשבונות משתמשים, IAM ממשיך לשלב הבא.
- אם אין כללי מדיניות רלוונטיים לגבי גבולות הגישה של חשבון המשתמש, IAM ממשיך לשלב הבא.
-
IAM בודק את כל כללי מדיניות הדחייה הרלוונטיים כדי לגלות אם ההרשאה לחשבון המשתמש נדחתה. כללי מדיניות דחייה רלוונטיים הם אלו שמצורפים למשאב, וגם כל כללי מדיניות הדחייה שהועברו בירושה.
- אם מתוך הכללים הרלוונטיים, יש כללי מדיניות דחייה כלשהם שמונעים מחשבון המשתמש להשתמש בהרשאה נדרשת, IAM מונע ממנו לגשת למשאב.
- אם אין כללי מדיניות דחייה שמונעים מחשבון המשתמש להשתמש בהרשאה נדרשת, IAM ממשיך לשלב הבא.
-
IAM בודק את כל כללי מדיניות ההרשאה הרלוונטיים כדי לראות אם יש לחשבון המשתמש את ההרשאות הנדרשות. כללי מדיניות הרשאה רלוונטיים הם אלו שמצורפים למשאב, וגם כל כללי מדיניות ההרשאה שהועברו בירושה.
- אם לחשבון המשתמש אין את ההרשאות הנדרשות, IAM ימנע ממנו לגשת למשאב.
- אם לחשבון המשתמש יש את ההרשאות הנדרשות, IAM יאפשר לו גישה למשאב.
תהליך הערכת המדיניות מוצג בתרשים הבא:
המאמרים הבאים
- מידע נוסף על כללי מדיניות הרשאה
- מידע נוסף על כללי מדיניות של דחייה
- מידע נוסף על מדיניות גבולות הגישה של ישויות.