בניהול הזהויות והרשאות הגישה (IAM), אתם שולטים בגישה של חשבונות משתמשים. פרינציפל מייצג זהות אחת או יותר שעברו אימות ב- Google Cloud.
שימוש בפרינציפלים במדיניות
כדי להשתמש ב-principals במדיניות שלכם:
הגדרת זהויות ש- Google Cloud יכול לזהות. הגדרת זהויות היא תהליך של יצירת זהויות ש- Google Cloud יכולות לזהות. אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.
כדי ללמוד איך מגדירים זהויות, אפשר לעיין במאמרים הבאים:
- במאמר זהויות של משתמשים מוסבר איך מגדירים זהויות למשתמשים.
- למידע נוסף על הגדרת זהויות לעומסי עבודה, תוכלו לקרוא את המאמר זהויות לעומסי עבודה.
קובעים את מזהה חשבון המשתמש שבו תשתמשו. מזהה העיקרון הוא הדרך שבה מתייחסים לעיקרון במדיניות. המזהה הזה יכול להתייחס לזהות אחת או לקבוצת זהויות.
הפורמט שבו משתמשים למזהה של חשבון משתמש תלוי בגורמים הבאים:
- סוג חשבון המשתמש
- סוג המדיניות שרוצים לכלול בה את חשבון המשתמש
כדי לראות את הפורמט של מזהה חשבון המשתמש לכל סוג של חשבון משתמש בכל סוג של מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.
אחרי שמגלים את הפורמט של המזהה, אפשר לקבוע את המזהה הייחודי של חשבון המשתמש על סמך המאפיינים שלו, כמו כתובת האימייל שלו.
כוללים את המזהה של החשבון הראשי במדיניות. מוסיפים את החשבון למדיניות, בהתאם לפורמט של המדיניות.
מידע על הסוגים השונים של מדיניות ב-IAM מופיע במאמר סוגי מדיניות.
תמיכה בסוגים של חשבונות משתמשים
כל סוג של מדיניות IAM תומך בקבוצת משנה של סוגי חשבונות המשתמשים ש-IAM תומך בהם. כדי לראות את סוגי החשבונות המשתמשים שנתמכים בכל סוג מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.
סוגים של חשבונות משתמשים
בטבלה הבאה מתוארים בקצרה הסוגים השונים של ישויות (principals) שנתמכים על ידי IAM. כדי לראות תיאור מפורט ודוגמאות לאופן שבו סוג של חשבון משתמש יכול להיראות כשמשתמשים בו במדיניות, לוחצים על השם של סוג חשבון המשתמש בטבלה.
| סוג חשבון המשתמש | תיאור | גורם ראשי יחיד או קבוצת גורמים ראשיים | מנוהל על ידי Google או מאוחד | תמיכה בסוגי מדיניות |
|---|---|---|---|---|
| חשבונות Google | חשבונות משתמשים שמייצגים אדם שמנהל אינטראקציה עם ממשקי ה-API והשירותים של Google. | סכום קרן יחיד | בניהול Google |
סוגי המדיניות הבאים תומכים בחשבונות Google:
סוגי המדיניות הבאים לא תומכים בחשבונות Google:
|
| חשבונות שירות | חשבון שמשמש עומס עבודה של מכונה ולא אדם. | סכום קרן יחיד | בניהול Google |
סוגי המדיניות הבאים תומכים בחשבונות שירות:
אי אפשר להשתמש בחשבונות שירות בסוגי המדיניות הבאים:
|
| קבוצה של חשבונות שירות | כל חשבונות השירות בפרויקט, בתיקייה או בארגון. | קבוצת חשבונות משתמשים שמכילה חשבונות שירות. | בניהול Google |
סוגי המדיניות הבאים תומכים בקבוצה של חשבונות שירות:
סוגי המדיניות הבאים לא תומכים בקבוצה של חשבונות שירות:
|
| קבוצה של סוכני שירות | כל חשבונות השירות בניהול Google (סוכני שירות) שמשויכים לפרויקט, לתיקייה או לארגון. | קבוצת חשבונות משתמשים שמכילה סוכני שירות. | בניהול Google |
סוגי המדיניות הבאים תומכים בקבוצה של סוכני שירות:
סוגי המדיניות הבאים לא תומכים בקבוצה של סוכני שירות:
|
| קבוצות Google | אוסף של משתמשים אנושיים או משתמשים שהם מכונות עם חשבונות Google, שיש לו שם. |
קבוצת חשבונות משתמשים שיכולה להכיל את הפריטים הבאים:
|
בניהול Google |
סוגי המדיניות הבאים תומכים בקבוצות Google:
סוגי המדיניות הבאים לא תומכים בקבוצות Google:
|
| דומיינים | חשבון Google Workspace או דומיין Cloud Identity שמייצגים קבוצה וירטואלית. הקבוצה יכולה להכיל משתמשים אנושיים וחשבונות שירות. |
קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:
|
בניהול Google |
סוגי המדיניות הבאים תומכים בדומיינים:
|
allAuthenticatedUsers |
מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google. |
קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:
|
בניהול Google |
סוגי המדיניות הבאים תומכים ב-
אי אפשר להשתמש ב-
|
allUsers |
מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים. |
קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:
|
שני הסוגים |
סוגי המדיניות הבאים תומכים ב-
אי אפשר להשתמש ב-
|
| פרינציפל יחיד במאגר זהויות של כוח עבודה | משתמש אנושי עם זהות שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של כוח עבודה. | סכום קרן יחיד | מאוחד |
סוגי המדיניות הבאים תומכים בחשבון ראשי יחיד במאגר זהויות של כוח עבודה:
סוגי המדיניות הבאים לא תומכים בחשבון ראשי יחיד במאגר זהויות של כוח עבודה:
|
| קבוצה של ישויות במאגר זהויות של כוח עבודה | קבוצה של משתמשים אנושיים עם זהויות שמנוהלות על ידי ספק זהויות חיצוני ומאוחדות באמצעות איחוד שירותי אימות הזהות של כוח עבודה. | קבוצת חשבונות משתמש שמכילה זהויות של כוח העבודה. | מאוחד |
סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של כוח עבודה:
|
| פרינציפל יחיד במאגר זהויות של עומסי עבודה | עומס עבודה (או משתמש במכונה) עם זהות שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של עומסי עבודה. | סכום קרן יחיד | מאוחד |
סוגי המדיניות הבאים תומכים בישות מורשית יחידה במאגר זהויות של עומסי עבודה:
סוגי המדיניות הבאים לא תומכים בפרינציפל יחיד במאגר זהויות של עומסי עבודה:
|
| קבוצה של ישויות (principals) במאגר זהויות של עומסי עבודה | קבוצה של עומסי עבודה (או משתמשי מכונה) עם זהויות שמנוהלות על ידי ספק זהויות חיצוני ומאוחדות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה. | קבוצת ישויות (principals) שמכילה זהויות של עומסי עבודה | מאוחד |
סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של עומסי עבודה:
|
| קבוצה של פודים של Google Kubernetes Engine | עומס עבודה (או משתמש מכונה) שפועל ב-GKE ומאוחד דרך GKE. | קבוצת ישויות שאפשר לכלול בה זהויות מאוחדות של עומסי עבודה | מאוחד |
סוגי המדיניות הבאים תומכים בתרמילים של GKE:
סוגי המדיניות הבאים לא תומכים בתרמילים של GKE:
|
| זהויות של סוכנים | זהות של עומס עבודה מבוסס-סוכן שמאומתת באופן חזק קשורה למחזור החיים של הסוכן. | סכום קרן יחיד | בניהול Google |
סוגי המדיניות הבאים תומכים בזהויות של סוכנים:
סוגי המדיניות הבאים לא תומכים בזהויות של סוכנים פרטיים:
|
| סט של זהויות סוכנים | כל הזהויות של הסוכנים בפרויקט, בתיקייה או בארגון. | קבוצת חשבונות משתמש שמכילה את הזהויות של הסוכנים. | בניהול Google |
סוגי המדיניות הבאים תומכים בקבוצה של זהויות סוכנים:
סוגי המדיניות הבאים לא תומכים בקבוצות של זהויות סוכנים:
|
| קבוצות של ישויות מורשות ב-מנהל המשאבים | קבוצה של משתמשים אנושיים או משתמשים שהם מכונות שמשויכים ל Google Cloud משאבים כמו פרויקטים, תיקיות וארגונים. |
קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:
|
שני הסוגים |
סוגי המדיניות הבאים תומכים בקבוצות של חשבונות משתמש ב-Resource Manager:
סוגי המדיניות הבאים לא תומכים בקבוצות של חשבונות משתמש ב-Resource Manager:
|
בקטעים הבאים מוסבר על כל אחד מסוגי העיקרון האלה.
חשבונות Google
חשבון Google מייצג מפַתח/ת, אדמין, או כל אדם אחר שמשתמש ב- Google Cloud באמצעות חשבון שהוא יצר ב-Google. כל כתובת אימייל שמשויכת לחשבון Google, שנקרא גם חשבון משתמש מנוהל, יכולה לשמש כגורם ראשי. הפרטים האלה כוללים את כתובות האימייל gmail.com וכתובות אימייל עם דומיינים אחרים.
בדוגמאות הבאות אפשר לראות איך אפשר לזהות חשבון Google בסוגים שונים של מדיניות:
- מדיניות הרשאה:
user:alex@example.com - כללי מדיניות לדחייה:
principal://goog/subject/alex@example.com
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
במדיניות ההיתרים והדחיות, כתובות אימייל חלופיות שמשויכות לחשבון Google או לחשבון משתמש מנוהל מוחלפות אוטומטית בכתובת האימייל הראשית. המשמעות היא שכתובת האימייל הראשית של המשתמש תוצג במדיניות כשמעניקים גישה לכתובת אימייל חלופית.
מידע נוסף על הגדרת חשבונות Google זמין במאמר בנושא חשבונות Cloud Identity או Google Workspace.
חשבונות שירות
חשבון שירות הוא חשבון של אפליקציה או של עומס עבודה ממוחשב (ולא של משתמש קצה). אפשר לחלק את חשבונות השירות לחשבונות שירות בניהול המשתמשים ולחשבונות שירות בניהול Google, שנקראים סוכני שירות:
כשמריצים קוד שמתארח ב- Google Cloud, מציינים חשבון שירות שישמש כזהות של האפליקציה. אפשר ליצור כמה חשבונות שירות שמנוהלים על ידי המשתמש שצריך כדי לייצג את הרכיבים הלוגיים השונים באפליקציה.
חלק מהשירותים צריכים גישה למשאבים שלכם כדי שיוכלו לפעול בשמכם. Google Cloud כדי לתת מענה לצורך הזה, Google יוצרת ומנהלת סוכני שירות.
אפשר להתייחס לחשבונות שירות ולסוכני שירות בדרכים הבאות:
- חשבון שירות יחיד
- כל חשבונות השירות בפרויקט
- כל סוכני השירות שמשויכים לפרויקט
- כל חשבונות השירות בכל הפרויקטים בתיקייה
- כל סוכני השירות שמשויכים לתיקייה ולצאצאים שלה
- כל חשבונות השירות בכל הפרויקטים בארגון
- כל סוכני השירות שמשויכים לארגון ולצאצאים שלו
בדוגמאות הבאות אפשר לראות איך לזהות חשבון שירות ספציפי בסוגים שונים של מדיניות:
- חשבון שירות במדיניות הרשאות:
serviceAccount:my-service-account@my-project.iam.gserviceaccount.com - חשבון שירות במדיניות דחייה:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com
בדוגמאות הבאות מוצגות דרכים לזהות את כל חשבונות השירות בפרויקט, בתיקייה או בארגון בסוגים שונים של מדיניות:
- כל חשבונות השירות בפרויקט במדיניות ההרשאות:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - כל סוכני השירות שמשויכים לתיקייה במדיניות של דחיית גישה:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
מידע נוסף על חשבונות שירות זמין במאמרים הבאים:
קבוצות Google
קבוצת Google היא אוסף של חשבונות Google, שיש לו שם. לכל קבוצת Google יש כתובת אימייל ייחודית שמשויכת לקבוצה. כדי לבדוק מה כתובת האימייל של הקבוצה ב-Google, לוחצים על מידע כללי בדף הבית של הקבוצה. בדף הבית של קבוצות Google מוסבר על קבוצות בהרחבה.
קבוצות ב-Google הן אמצעי נוח לשליטה בגישה של קבוצת משתמשים, כי אתם יכולים לתת הרשאות גישה ולשנות אותן לכל הקבוצה ביחד במקום לכל משתמש או חשבון שירות בנפרד. אתם יכולים לתת הרשאות גישה ולשנות אותן לכל הקבוצה ביחד במקום לכל משתמש או חשבון שירות בנפרד. אפשר גם להוסיף חשבונות משתמשים לקבוצה ב-Google ולהסיר ממנה חשבונות, במקום לעדכן בכל פעם את מדיניות ההרשאות.
לקבוצות ב-Google אין פרטי כניסה, ואי אפשר להשתמש בהן כדי לאמת זהות ולבקש גישה למשאב.
בדוגמאות הבאות אפשר לראות איך לזהות קבוצת Google בסוגים שונים של מדיניות:
- מדיניות הרשאה:
group:my-group@example.com - כללי מדיניות לדחייה:
principalSet://goog/group/my-group@example.com
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
מידע נוסף על שימוש בקבוצות לצורך בקרת גישה זמין במאמר שיטות מומלצות לשימוש בקבוצות Google.
דומיינים
דומיינים יכולים להיות חשבונות Google Workspace או דומיינים ב-Cloud Identity. הם זהים במהותם כי כל אחד מהם מייצג קבוצה וירטואלית של כל חשבונות Google שהוא מכיל. ההבדל היחיד הוא שלמשתמשים בדומיין ב-Cloud Identity אין גישה לאפליקציות ולתכונות של Google Workspace.
בדומה לקבוצות ב-Google, אי אפשר להשתמש בדומיינים כדי לאמת זהות, אבל נוח לנהל את ההרשאות בעזרתם.
כשיוצרים חשבון Google למשתמש חדש, למשל username@example.com, אותו חשבון Google נוסף לקבוצה הווירטואלית של חשבון Google Workspace או דומיין Cloud Identity. כשמשנים את הגישה לחשבון Google Workspace או לדומיין Cloud Identity, משנים את הגישה לכל חשבונות Google בקבוצה הווירטואלית הזו.
בדוגמאות הבאות אפשר לראות איך לזהות דומיין בסוגים שונים של מדיניות:
- מדיניות הרשאה:
domain:example.com - כללי מדיניות הדחייה:
principalSet://goog/cloudIdentityCustomerId/C01Abc35 - מדיניות של גבולות גישה של גורמים מרכזיים:
//iam.googleapis.com/locations/global/workspace/C01Abc35
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
מידע נוסף על Cloud Identity זמין במאמר מידע כללי על Cloud Identity.
דומיינים משניים
כשיוצרים חשבון Google Workspace או דומיין Cloud Identity, מקבלים מזהה לקוח ייחודי. לאחר מכן מציינים שם דומיין שיהפוך לשם הדומיין הראשי – לדוגמה, example.com.
אחרי שיוצרים את הדומיין הראשי, אפשר להוסיף דומיינים משניים עם שמות דומיין משלהם. אבל הדומיינים האלה משויכים לאותו מספר לקוח כמו הדומיין הראשי.
מערכת IAM משתמשת במספר הלקוח כדי לזהות חברים בדומיין, ולא בשם הדומיין. לכן, אין לכם אפשרות לנהל את הגישה לדומיינים ראשיים ומשניים בנפרד. זה נכון גם לגבי מדיניות הרשאות, שבה מזהים את הדומיין באמצעות שם הדומיין. כשמערכת IAM מעריכה מדיניות הרשאה, היא מזהה את מספר הלקוח שמשויך לדומיין, ואז משתמשת במספר הלקוח הזה – ולא בשם הדומיין – כדי לזהות את החברים בדומיין.
שמות הדומיין במדיניות ההיתרים מוגדרים כברירת מחדל לשם הדומיין הראשי. אם תעניקו גישה לדומיין באמצעות שם דומיין משני, הוא יוחלף באופן אוטומטי בשם הדומיין הראשי התואם.
allAuthenticatedUsers
הערך allAuthenticatedUsers הוא מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google. המזהה הזה כולל חשבונות שלא מחוברים לחשבון Google Workspace או לדומיין ב-Cloud Identity, כמו חשבונות Gmail אישיים. משתמשים לא מאומתים, כמו מבקרים אנונימיים, לא נכללים בו.
הסוג הזה של חשבון משתמש לא כולל זהויות מאוחדות שמנוהלות על ידי ספקי זהויות חיצוניים (IdPs). אם משתמשים באיחוד שירותי אימות הזהות של כוח העבודה או באיחוד שירותי אימות הזהות של עומסי העבודה, לא כדאי להשתמש ב-allAuthenticatedUsers. במקום זאת, אפשר להשתמש באחת מהאפשרויות הבאות:
- כדי לכלול משתמשים מכל השירותים של ספקי הזהויות:
allUsers. - כדי לכלול משתמשים מספקי זהויות חיצוניים ספציפיים: במזהה של כל הזהויות במאגר הזהויות של כוח העבודה או בכל הזהויות במאגר הזהויות של עומסי העבודה.
חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.
allUsers
הערך allUsers הוא מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.
חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.
allUsers. הסיבה לכך היא הגדרת ברירת המחדל של האילוץ iam.managed.allowedPolicyMembers.
במאמר הגבלת זהויות לפי דומיין מוסבר איך משנים את ההגדרה הזו.allUsers כולל רק משתמשים מאומתים.בדוגמאות הבאות אפשר לראות איך מזהה allUsers עשוי להיראות בסוגים שונים של כללי מדיניות:
- מדיניות הרשאות בסוגי משאבים נתמכים:
allUsers - כללי מדיניות לדחייה:
principalSet://goog/public:all
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
זהויות מאוחדות במאגר זהויות של כוח עבודה
מאגר זהויות של כוח עבודה הוא קבוצה של זהויות משתמשים שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של כוח עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:
- זהות יחידה במאגר זהויות של כוח עבודה
- כל הזהויות של כוח העבודה בקבוצה ספציפית
- כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי
- כל הזהויות במאגר זהויות של כוח עבודה
בדוגמאות הבאות אפשר לראות איך לזהות מאגרי זהויות כוח עבודה מאוחדים בסוגים שונים של מדיניות:
- זהות אחת במדיניות ההיתרים:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - קבוצה של זהויות במדיניות דחייה:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com - מאגר זהויות של כוח עבודה במדיניות של גבולות גישה לחשבון ראשי:
//iam.googleapis.com/locations/global/workforcePools/example-workforce-pool
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
זהויות מאוחדות במאגר זהויות של עומסי עבודה
מאגר זהויות של עומסי עבודה הוא קבוצה של Workload Identity שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:
- זהות יחידה במאגר זהויות של עומסי עבודה
- כל הזהויות של עומסי העבודה בקבוצה ספציפית
- כל הזהויות של עומסי העבודה עם ערך מאפיין ספציפי
- כל הזהויות במאגר זהויות של עומסי עבודה
בדוגמאות הבאות אפשר לראות איך אפשר לזהות מאגרי זהויות של כוח עבודה מאוחדים בסוגים שונים של מדיניות:
- זהות אחת במדיניות ההיתרים:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - קבוצה של זהויות במדיניות דחייה:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com - מאגר זהויות של עומסי עבודה במדיניות של גבולות גישה של חשבונות ראשיים:
//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
GKE Pods
עומסי עבודה שפועלים ב-GKE משתמשים באיחוד זהויות של עומסי עבודה ל-GKE כדי לגשת לשירותי Google Cloud . מידע נוסף על מזהי חשבונות משתמשים של Pods ב-GKE זמין במאמר הפניה למשאבי Kubernetes בכללי מדיניות של IAM.
בדוגמה הבאה אפשר לראות איך מזהים את כל הפודים של GKE באשכול ספציפי במדיניות הרשאות:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
זהויות של נציגים
תצוגה מקדימה
השימוש במוצר או בתכונה כפוף לתנאי השימוש במוצרים בגרסת טרום-GA, בחלק "תנאים כלליים לשירות" של התנאים הספציפיים לשירות. השימוש בתכונות ובמוצרים בגרסת טרום-GA הוא "כפי שהם" (As is), ויכול להיות שהתמיכה בהם תהיה מוגבלת. מידע נוסף זמין בקטע תיאור שלבי ההשקה.
זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבי Google Cloud בהשוואה לשימוש בחשבונות שירות.
לכל סוכן מוקצית זהות סוכן באופן אוטומטי. אפשר להעניק או לדחות גישה למשאבים Google Cloud באמצעות כללי מדיניות ההרשאה והדחייה ב-IAM. אפשר גם לנהל את הגישה לכל הזהויות של הסוכנים בפרויקט, בתיקייה או בארגון באמצעות מדיניות הרשאות, דחייה ומדיניות של גבולות גישה לחשבונות ראשיים.
אפשר גם לקבץ את הזהויות של הסוכנים במאגרי זהויות של סוכנים.
בדוגמאות הבאות אפשר לראות איך לזהות את הזהויות של הסוכנים בסוגים שונים של מדיניות:
- זהות סוכן יחידה במדיניות הרשאה:
principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent - כל הזהויות של הסוכנים בפרויקט במדיניות דחייה:
principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210 - כל הזהויות של הסוכנים בפרויקט במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB):
//agents.global.org-123456789012.system.id.goog/attribute.containier/projects/9876543210
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
קבוצות של ישויות (principals) ב-Resource Manager
כל משאב ב-מנהל המשאבים – כמו פרויקט, תיקייה או ארגון – משויך לקבוצה של ישויות מורשות. כשיוצרים קישורים למדיניות של גבולות גישה לישויות מורשות, אפשר להשתמש בקבוצת ישויות מורשות של משאב ב-מנהל המשאבים כדי להפנות לכל הישויות המורשות שמשויכות למשאב הזה.
קבוצות של ישויות מורשות למשאבים ב-מנהל המשאבים מכילות את הישויות המורשות הבאות:
- Project principal set: כל חשבונות השירות ומאגרי הזהויות של כוח העבודה בפרויקט שצוין.
- קבוצת חשבונות משתמשים בתיקייה: כל חשבונות השירות וכל מאגרי הזהויות של כוח העבודה בכל פרויקט בתיקייה שצוינה.
קבוצת המשתמשים העיקריים בארגון: מכילה את הזהויות הבאות:
- כל הזהויות בכל הדומיינים שמשויכים למספר הלקוח שלכם ב-Google Workspace
- כל מאגרי הזהויות של כוח העבודה בארגון
- כל חשבונות השירות ומאגרי הזהויות של כוח העבודה בכל פרויקט בארגון
בדוגמה הבאה אפשר לראות איך אפשר לזהות את קבוצת החשבונות העיקריים של פרויקט במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB):
//cloudresourcemanager.googleapis.com/projects/example-project
מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.
המאמרים הבאים
- מידע על סוגי המדיניות ש-IAM תומך בהם
- הענקת תפקיד לישות מורשית בפרויקט, בתיקייה או בארגון ב-מנהל המשאבים