חשבונות ראשיים ב-IAM

בניהול הזהויות והרשאות הגישה (IAM), אתם שולטים בגישה של חשבונות משתמשים. פרינציפל מייצג זהות אחת או יותר שעברו אימות ב- Google Cloud.

שימוש בפרינציפלים במדיניות

כדי להשתמש בפרינסיפלים במדיניות שלכם:

  1. הגדרת זהויות ש- Google Cloud יכול לזהות. הגדרת זהויות היא תהליך של יצירת זהויות ש- Google Cloud יכולות לזהות. אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.

    כדי ללמוד איך מגדירים זהויות, אפשר לעיין במאמרים הבאים:

  2. קובעים את מזהה חשבון המשתמש שבו תשתמשו. המזהה העיקרי הוא הדרך שבה מתייחסים לעיקרון במדיניות. המזהה הזה יכול להתייחס לזהות אחת או לקבוצת זהויות.

    הפורמט שבו משתמשים למזהה של חשבון משתמש תלוי בגורמים הבאים:

    • סוג חשבון המשתמש
    • סוג המדיניות שרוצים לכלול בה את חשבון המשתמש

    כדי לראות את הפורמט של מזהה חשבון המשתמש לכל סוג של חשבון משתמש בכל סוג של מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

    אחרי שמגלים את הפורמט של המזהה, אפשר לקבוע את המזהה הייחודי של חשבון המשתמש על סמך המאפיינים שלו, כמו כתובת האימייל שלו.

  3. כוללים את המזהה של החשבון הראשי במדיניות. מוסיפים את החשבון הראשי למדיניות, בהתאם לפורמט של המדיניות.

    מידע על הסוגים השונים של מדיניות ב-IAM מופיע במאמר סוגי מדיניות.

תמיכה בסוגים של חשבונות משתמשים

כל סוג של מדיניות IAM תומך בקבוצת משנה של סוגי החשבונות הראשיים ש-IAM תומך בהם. כדי לראות את סוגי החשבונות המשתמשים שנתמכים בכל סוג מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

סוגים של חשבונות משתמשים

בטבלה הבאה מתוארים בקצרה הסוגים השונים של ישויות (principals) שנתמכים על ידי IAM. כדי לראות תיאור מפורט ודוגמאות לאופן שבו סוג של חשבון משתמש יכול להיראות כשמשתמשים בו במדיניות, לוחצים על השם של סוג חשבון המשתמש בטבלה.

סוג חשבון המשתמש תיאור מנהל יחיד או קבוצת מנהלים מנוהל על ידי Google או מאוחד תמיכה בסוגי מדיניות
חשבונות Google חשבונות משתמשים שמייצגים אדם שמנהל אינטראקציה עם Google APIs והשירותים של Google. גורם מרכזי יחיד בניהול Google

סוגי המדיניות הבאים תומכים בחשבונות Google:

  • אישור
  • דחייה

סוגי המדיניות הבאים לא תומכים בחשבונות Google:

  • גבול הגישה של הגורם המרכזי
חשבונות שירות חשבון שמשמש עומס עבודה של מכונה ולא אדם. גורם מרכזי יחיד בניהול Google

סוגי המדיניות הבאים תומכים בחשבונות שירות:

  • אישור
  • דחייה

סוגי המדיניות הבאים לא תומכים בחשבונות שירות:

  • גבול הגישה של הגורם המרכזי
קבוצה של חשבונות שירות כל חשבונות השירות בפרויקט, בתיקייה או בארגון. קבוצת חשבונות משתמשים שמכילה חשבונות שירות. בניהול Google

סוגי המדיניות הבאים תומכים בקבוצה של חשבונות שירות:

  • אישור
  • דחייה

סוגי המדיניות הבאים לא תומכים בקבוצה של חשבונות שירות:

  • גבול הגישה של הגורם המרכזי
קבוצה של סוכני שירות כל חשבונות השירות בניהול Google (סוכני שירות) שמשויכים לפרויקט, לתיקייה או לארגון. קבוצת חשבונות משתמשים שמכילה סוכני שירות. בניהול Google

סוגי המדיניות הבאים תומכים בקבוצה של סוכני שירות:

  • דחייה

סוגי המדיניות הבאים לא תומכים בקבוצה של סוכני שירות:

  • אישור
  • גבול הגישה של הגורם המרכזי
קבוצות Google אוסף של משתמשים אנושיים או משתמשים שהם מכונות עם חשבונות Google, שיש לו שם.

קבוצת חשבונות משתמשים שיכולה להכיל את הפריטים הבאים:

  • חשבונות Google
  • חשבונות שירות
 בניהול Google

סוגי המדיניות הבאים תומכים בקבוצות Google:

  • אישור
  • דחייה

אי אפשר להשתמש בקבוצות Google עם סוגי המדיניות הבאים:

  • גבול הגישה של הגורם המרכזי
דומיינים חשבון Google Workspace או דומיין Cloud Identity שמייצגים קבוצה וירטואלית. הקבוצה יכולה להכיל משתמשים אנושיים וחשבונות שירות.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
 בניהול Google

סוגי המדיניות הבאים תומכים בדומיינים:

  • אישור
  • דחייה
  • גבול הגישה של הגורם המרכזי
allAuthenticatedUsers מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
  • זהויות של כוח עבודה
  • זהויות של עומסי עבודה
 בניהול Google

סוגי המדיניות הבאים תומכים ב-allAuthenticatedUsers עבור משאבים מסוימים:

  • אישור

סוגי המדיניות הבאים לא תומכים ב-allAuthenticatedUsers:

  • דחייה
  • גבול הגישה של הגורם המרכזי
allUsers מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
  • זהויות של כוח עבודה
  • זהויות של עומסי עבודה
 שני הסוגים

סוגי המדיניות הבאים תומכים ב-allUsers:

  • מותר (למשאבים מסוימים)
  • דחייה

סוגי המדיניות הבאים לא תומכים ב-allUsers:

  • גבול הגישה של הגורם המרכזי
זהות יחידה במאגר זהויות של כוח עבודה משתמש אנושי עם זהות שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של כוח עבודה. גורם מרכזי יחיד מאוחד

סוגי המדיניות הבאים תומכים בזהות יחידה במאגר זהויות של כוח עבודה:

  • אישור
  • דחייה
  • גבול הגישה של הגורם המרכזי
קבוצה של ישויות במאגר זהויות של כוח עבודה קבוצה של משתמשים אנושיים עם זהויות שמנוהלות על ידי IdP חיצוני ומאוחדות באמצעות איחוד זהויות של כוח עבודה. קבוצת חשבונות משתמש שמכילה זהויות של כוח העבודה. מאוחד

סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של כוח עבודה:

  • אישור
  • דחייה
  • גבול הגישה של הגורם המרכזי
פרינציפל יחיד במאגר זהויות של עומסי עבודה עומס עבודה (או משתמש במכונה) עם זהות שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה. גורם מרכזי יחיד מאוחד

סוגי המדיניות הבאים תומכים בישות מורשית יחידה במאגר זהויות של עומסי עבודה:

  • אישור
  • דחייה
  • גבול הגישה של הגורם המרכזי
קבוצה של ישויות (principals) במאגר זהויות של עומסי עבודה קבוצה של עומסי עבודה (או משתמשי מכונה) עם זהויות שמנוהלות על ידי IdP חיצוני ומאוחדות באמצעות איחוד זהויות של עומסי עבודה. קבוצת ישויות שמכילה זהויות של עומסי עבודה מאוחד

סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של עומסי עבודה:

  • אישור
  • דחייה
  • גבול הגישה של הגורם המרכזי
קבוצה של פודים של Google Kubernetes Engine עומס עבודה (או משתמש מכונה) שפועל ב-GKE ומאוחד דרך GKE. קבוצת ישויות (Principal) שיכולה להכיל זהות אחת או יותר של עומס עבודה מאוחד מאוחד

סוגי המדיניות הבאים תומכים ב-pods של GKE:

  • אישור

סוגי המדיניות הבאים לא תומכים בתרמילים של GKE:

  • דחייה
  • גבול הגישה של הגורם המרכזי
זהויות של סוכנים זהות של עומס עבודה מבוסס-סוכן שעברה אימות חזק קשורה למחזור החיים של הסוכן. גורם מרכזי יחיד בניהול Google

סוגי המדיניות הבאים תומכים בזהויות של סוכנים:

  • אישור
  • דחייה
קבוצה של זהויות סוכנים כל הזהויות של הנציגים במאגר הזהויות של הנציגים. קבוצת חשבונות משתמש שמכילה זהויות של סוכנים. בניהול Google

סוגי המדיניות הבאים תומכים בקבוצה של זהויות סוכנים:

  • אישור
  • דחייה
קבוצות של ישויות מורשות (principals) ב-מנהל המשאבים קבוצה של משתמשים אנושיים או משתמשים שהם מכונות שמשויכים ל Google Cloud משאבים כמו פרויקטים, תיקיות וארגונים.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
  • זהויות של כוח עבודה
  • זהויות של עומסי עבודה
 שני הסוגים

סוגי המדיניות הבאים תומכים בקבוצות של חשבונות משתמש ב-Resource Manager:

  • גבול הגישה של הגורם המרכזי

סוגי המדיניות הבאים לא תומכים בקבוצות של חשבונות משתמש ב-Resource Manager:

  • אישור
  • דחייה

בקטעים הבאים מוסבר על סוגי הגורמים האלה בפירוט.

חשבונות Google

חשבון Google מייצג מפַתח/ת, אדמין, או כל אדם אחר שמשתמש ב- Google Cloud באמצעות חשבון שהוא יצר ב-Google. כל כתובת אימייל שמשויכת לחשבון Google, שנקרא גם חשבון מנוהל, יכולה לשמש כישות מורשית. הפרטים האלה כוללים כתובות אימייל וכתובות אימייל עם דומיינים אחרים.gmail.com

בדוגמאות הבאות אפשר לראות איך אפשר לזהות חשבון Google בסוגים שונים של מדיניות:

  • מדיניות הרשאה: user:alex@example.com
  • כללי מדיניות לדחייה: principal://goog/subject/alex@example.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

במדיניות ההיתרים והדחיות, כתובות אימייל חלופיות שמשויכות לחשבון Google או לחשבון משתמש מנוהל מוחלפות אוטומטית בכתובת האימייל הראשית. המשמעות היא שכתובת האימייל הראשית של המשתמש מוצגת במדיניות כשמעניקים גישה לכתובת אימייל חלופית.

מידע נוסף על הגדרת חשבונות Google זמין במאמר בנושא חשבונות Cloud Identity או Google Workspace.

חשבונות שירות

חשבון שירות הוא חשבון של אפליקציה או של עומס עבודה ממוחשב (ולא של משתמש קצה). אפשר לחלק את חשבונות השירות לחשבונות שירות בניהול המשתמשים ולחשבונות שירות בניהול Google, שנקראים סוכני שירות:

  • כשמריצים קוד שמתארח ב- Google Cloud, מציינים חשבון שירות שישמש כזהות של האפליקציה. אפשר ליצור כמה חשבונות שירות שמנוהלים על ידי המשתמש שצריך כדי לייצג את הרכיבים הלוגיים השונים באפליקציה.

  • חלק מהשירותים צריכים גישה למשאבים שלכם כדי שיוכלו לפעול בשמכם. Google Cloud כדי לתת מענה לצורך הזה, Google יוצרת ומנהלת סוכני שירות.

אפשר להתייחס לחשבונות שירות ולסוכני שירות בדרכים הבאות:

  • חשבון שירות יחיד
  • כל חשבונות השירות בפרויקט
  • כל סוכני השירות שמשויכים לפרויקט
  • כל חשבונות השירות בכל הפרויקטים בתיקייה
  • כל סוכני השירות שמשויכים לתיקייה ולתיקיות הצאצא שלה
  • כל חשבונות השירות בכל הפרויקטים בארגון
  • כל סוכני השירות שמשויכים לארגון ולצאצאים שלו

בדוגמאות הבאות אפשר לראות איך לזהות חשבון שירות ספציפי בסוגים שונים של כללי מדיניות:

  • חשבון שירות במדיניות הרשאות: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  • חשבון שירות במדיניות דחייה: principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com

בדוגמאות הבאות מוצגות דרכים לזהות את כל חשבונות השירות בפרויקט, בתיקייה או בארגון בסוגים שונים של מדיניות:

  • כל חשבונות השירות בפרויקט במדיניות ההרשאות: principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount
  • כל סוכני השירות שמשויכים לתיקייה במדיניות של דחיית גישה: principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

מידע נוסף על חשבונות שירות זמין בדפים הבאים:

קבוצות Google

קבוצת Google היא אוסף של חשבונות Google שיש לו שם. לכל קבוצת Google יש כתובת אימייל ייחודית שמשויכת לקבוצה. כדי למצוא את כתובת האימייל שמשויכת לקבוצה ב-Google, לוחצים על מידע כללי בדף הבית של כל קבוצה ב-Google. בדף הבית של קבוצות Google מוסבר על קבוצות בהרחבה.

קבוצות ב-Google הן דרך נוחה להחיל בקרת גישה על אוסף של חשבונות משתמשים. אתם יכולים לתת הרשאות גישה ולשנות אותן לכל הקבוצה ביחד במקום לכל משתמש או חשבון שירות בנפרד. אפשר גם להוסיף חשבונות משתמשים לקבוצה ב-Google או להסיר אותם ממנה, במקום לעדכן בכל פעם את מדיניות ההרשאות.

לקבוצות ב-Google אין פרטי כניסה, ואי אפשר להשתמש בהן כדי לאמת זהות ולבקש גישה למשאב.

בדוגמאות הבאות אפשר לראות איך אפשר לזהות קבוצה ב-Google בסוגים שונים של מדיניות:

  • מדיניות הרשאה: group:my-group@example.com
  • כללי מדיניות לדחייה: principalSet://goog/group/my-group@example.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

מידע נוסף על שימוש בקבוצות לצורך בקרת גישה זמין במאמר שיטות מומלצות לשימוש בקבוצות Google.

דומיינים

דומיינים יכולים להיות חשבונות Google Workspace או דומיינים ב-Cloud Identity. הם זהים במהותם כי כל אחד מהם מייצג קבוצה וירטואלית של כל חשבונות Google שהוא מכיל. ההבדל היחיד הוא שלמשתמשים בדומיין ב-Cloud Identity אין גישה לאפליקציות ולתכונות של Google Workspace.

בדומה לקבוצות ב-Google, אי אפשר להשתמש בדומיינים כדי לאמת זהות, אבל נוח לנהל את ההרשאות בעזרתם.

כשיוצרים חשבון Google למשתמש חדש, למשל username@example.com, אותו חשבון Google נוסף לקבוצה הווירטואלית של חשבון Google Workspace או דומיין Cloud Identity. כשמשנים את הגישה לחשבון Google Workspace או לדומיין Cloud Identity, משנים את הגישה לכל חשבונות Google בקבוצה הוירטואלית הזו.

בדוגמאות הבאות אפשר לראות איך אפשר לזהות דומיין בסוגים שונים של מדיניות:

  • מדיניות הרשאה: domain:example.com
  • כללי מדיניות הדחייה: principalSet://goog/cloudIdentityCustomerId/C01Abc35
  • מדיניות של גבולות גישה של ישויות: //iam.googleapis.com/locations/global/workspace/C01Abc35

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

מידע נוסף על Cloud Identity זמין במאמר מידע כללי על Cloud Identity.

דומיינים משניים

כשיוצרים חשבון Google Workspace או דומיין Cloud Identity, מקבלים מספר לקוח ייחודי. לאחר מכן, מציינים שם דומיין שיהפוך לשם הדומיין הראשי – לדוגמה, example.com.

אחרי שיוצרים את הדומיין הראשי, אפשר להוסיף דומיינים משניים עם שמות דומיין משלהם. אבל הדומיינים האלה משויכים לאותו מספר לקוח כמו הדומיין הראשי.

מערכת IAM משתמשת במספר הלקוח כדי לזהות חברים בדומיין, ולא בשם הדומיין. לכן, אי אפשר לנהל את הגישה לדומיינים ראשיים ומשניים בנפרד. זה נכון גם לגבי מדיניות הרשאות, שבה מזהים את הדומיין באמצעות שם הדומיין. כשמערכת IAM מעריכה מדיניות הרשאה, היא מזהה את מספר הלקוח שמשויך לדומיין, ואז משתמשת במספר הלקוח הזה – ולא בשם הדומיין – כדי לזהות את החברים בדומיין.

שמות הדומיינים במדיניות ההיתרים מוגדרים כברירת מחדל לשם הדומיין הראשי. אם תעניקו גישה לדומיין באמצעות שם דומיין משני, הוא יוחלף אוטומטית בשם הדומיין הראשי התואם.

allAuthenticatedUsers

הערך allAuthenticatedUsers הוא מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google. המזהה הזה כולל חשבונות שלא מחוברים לחשבון Google Workspace או לדומיין ב-Cloud Identity, כמו חשבונות Gmail אישיים. משתמשים לא מאומתים, כמו מבקרים אנונימיים, לא נכללים בו.

הסוג הזה של חשבון משתמש לא כולל זהויות מאוחדות שמנוהלות על ידי ספקי זהויות חיצוניים (IdPs). אם משתמשים באיחוד שירותי אימות הזהות של כוח העבודה או באיחוד שירותי אימות הזהויות של עומסי העבודה, לא כדאי להשתמש ב-allAuthenticatedUsers. במקום זאת, אפשר להשתמש באחת מהאפשרויות הבאות:

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

allUsers

הערך allUsers הוא מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

בדוגמאות הבאות אפשר לראות איך המזהה allUsers עשוי להופיע בסוגים שונים של כללי מדיניות:

  • מדיניות הרשאות בסוגי משאבים נתמכים: allUsers
  • כללי מדיניות לדחייה: principalSet://goog/public:all

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של כוח עבודה

מאגר זהויות של כוח עבודה הוא קבוצה של זהויות משתמשים שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של כוח עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

  • זהות יחידה במאגר זהויות של כוח עבודה
  • כל הזהויות של כוח העבודה בקבוצה ספציפית
  • כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי
  • כל הזהויות במאגר זהויות של כוח עבודה

בדוגמאות הבאות אפשר לראות איך אפשר לזהות מאגרי זהויות כוח עבודה מאוחדים בסוגים שונים של מדיניות:

  • זהות אחת במדיניות ההרשאה: principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com
  • קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
  • מאגר זהויות של כוח עבודה במדיניות של גבולות גישה לחשבונות ראשיים: //iam.googleapis.com/locations/global/workforcePools/example-workforce-pool

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של עומסי עבודה

מאגר זהויות של עומסי עבודה הוא קבוצה של זהויות של עומסי עבודה שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

  • זהות יחידה במאגר זהויות של עומסי עבודה
  • כל הזהויות של עומסי העבודה בקבוצה ספציפית
  • כל הזהויות של עומסי העבודה עם ערך מאפיין ספציפי
  • כל הזהויות במאגר זהויות של עומסי עבודה

בדוגמאות הבאות אפשר לראות איך לזהות מאגרי זהויות של כוח עבודה מאוחדים בסוגים שונים של מדיניות:

  • זהות אחת במדיניות ההרשאה: principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com
  • קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
  • מאגר זהויות של עומסי עבודה במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB): //iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

GKE Pods

עומסי עבודה שפועלים ב-GKE משתמשים באיחוד זהויות של עומסי עבודה ל-GKE כדי לגשת לשירותי Google Cloud . מידע נוסף על מזהי חשבונות משתמשים של GKE Pods זמין במאמר הפניה למשאבי Kubernetes בכללי מדיניות של IAM.

בדוגמה הבאה אפשר לראות איך מזהים את כל הפודים של GKE באשכול ספציפי במדיניות הרשאות:

principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות של נציגים

זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבים של Google Cloud , בהשוואה לשימוש בחשבונות שירות.

לכל סוכן מוקצית זהות סוכן באופן אוטומטי. אפשר להעניק או לדחות גישה למשאבים באמצעות כללי מדיניות של IAM. Google Cloud

בדוגמה הבאה אפשר לראות איך מזהים את זהות הסוכן במדיניות הרשאות או במדיניות דחייה:

principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

קבוצות של ישויות מורשות במנהל המשאבים

כל משאב ב-Resource Manager – כמו פרויקט, תיקייה או ארגון – משויך לקבוצה של ישויות מורשות. כשיוצרים קישורים למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), אפשר להשתמש בקבוצת ישויות מורשות למשאב מנהל המשאבים כדי להפנות לכל הישויות המורשות שמשויכות למשאב הזה.

קבוצות של ישויות מורשות למשאבים ב-מנהל המשאבים מכילות את הישויות המורשות הבאות:

  • Project principal set: כל חשבונות השירות ומאגרי הזהויות של כוח העבודה בפרויקט שצוין.
  • קבוצת חשבונות ראשיים בתיקייה: כל חשבונות השירות וכל מאגרי הזהויות של כוח העבודה בכל פרויקט בתיקייה שצוינה.

  • קבוצת חשבונות משתמשים של הארגון: מכילה את הזהויות הבאות:

    • כל הזהויות בכל הדומיינים שמשויכים למספר הלקוח שלכם ב-Google Workspace
    • כל מאגרי הזהויות של כוח העבודה בארגון
    • כל חשבונות השירות ומאגרי הזהויות של כוח העבודה בכל פרויקט בארגון

בדוגמה הבאה אפשר לראות איך לזהות את קבוצת החשבונות הראשיים של פרויקט במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB):

//cloudresourcemanager.googleapis.com/projects/example-project

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

המאמרים הבאים