Questa pagina è stata tradotta dall'API Cloud Translation.

Condivisione limitata per i domini

La condivisione limitata dei domini consente di limitare la condivisione delle risorse in base a un dominio o a una risorsa dell'organizzazione. Quando la condivisione limitata per i domini è attiva, solo alle entità che appartengono a domini o organizzazioni consentiti possono essere concessi ruoli IAM nella tua organizzazione Google Cloud .

Metodi per limitare la condivisione per dominio

Esistono diversi modi per utilizzare il servizio Policy dell'organizzazione per limitare la condivisione delle risorse in base a un dominio o a una risorsa dell'organizzazione:

Il vincolo gestito iam.managed.allowedPolicyMembers: puoi applicare questo vincolo gestito per consentire la concessione di ruoli solo alle entità e ai set di entità che elenchi nel vincolo.

Con questo vincolo gestito, elenchi le entità e gli insiemi di entità a cui vuoi consentire di concedere ruoli. Per consentire la concessione di ruoli a tutte le entità della tua organizzazione, includi il set di entità dell'organizzazione nel vincolo.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.managed.allowedPolicyMembers per implementare la condivisione con limitazioni del dominio.
Una policy dell'organizzazione personalizzata che fa riferimento alla risorsa iam.googleapis.com/AllowPolicy: puoi utilizzare una policy dell'organizzazione personalizzata per consentire la concessione di ruoli solo a un insieme specifico di entità.

Nella maggior parte dei casi, devi utilizzare il vincolo gestito iam.managed.allowedPolicyMembers anziché una policy dell'organizzazione personalizzata. Tuttavia, le seguenti opzioni di configurazione sono disponibili solo se utilizzi criteri dell'organizzazione personalizzati:
- Configurazione delle entità consentite in base al tipo di membro
- Impedire l'assegnazione di ruoli a entità specifiche
- Consentire la concessione di ruoli a entità speciali come allUsers e allAuthenticatedUsers
Per configurare la condivisione limitata dei domini con policy dell'organizzazione personalizzate, utilizza le seguenti funzioni CEL per definire a chi può essere concesso un ruolo nella tua organizzazione:
Per consentire la concessione di ruoli a tutte le entità della tua organizzazione, specifica il set di entità dell'organizzazione nella funzione memberInPrincipalSet e includi il set di entità dell'organizzazione nel vincolo.

Per saperne di più su come creare policy dell'organizzazione personalizzate utilizzando queste funzioni CEL, consulta Utilizzare policy dell'organizzazione personalizzate per implementare la condivisione con limitazioni del dominio.
Il iam.allowedPolicyMemberDomainsvincolo gestito legacy: puoi applicare questo vincolo gestito legacy per consentire l'assegnazione dei ruoli solo alle entità della tua organizzazione. Puoi limitare l'accesso in base al tuo insieme di principal dell'organizzazione o al tuo ID cliente Google Workspace. Per vedere le differenze tra questi identificatori, consulta Set di entità dell'organizzazione e ID cliente Google Workspace in questa pagina.

Questo vincolo non consente di configurare eccezioni per principal specifici. Ad esempio, supponiamo che tu debba concedere un ruolo a un service agent in un'organizzazione che applica il vincolo iam.allowedPolicyMemberDomains. I service agent vengono creati e gestiti da Google, pertanto non fanno parte della tua organizzazione, del tuo account Google Workspace o del tuo dominio Cloud Identity. Di conseguenza, per concedere un ruolo al service agent, devi disattivare il vincolo, concedere il ruolo e poi riattivare il vincolo.

Puoi ignorare la policy dell'organizzazione a livello di cartella o progetto per modificare gli utenti a cui è consentito concedere ruoli in quali cartelle o progetti. Per saperne di più, consulta Ignorare la policy dell'organizzazione per un progetto.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.allowedPolicyMemberDomains per implementare la condivisione con limitazioni del dominio.

Nota: se la tua organizzazione è stata creata a partire dal 3 maggio 2024, il vincolo gestito legacy iam.allowedPolicyMemberDomains viene applicato per impostazione predefinita e il tuo dominio è l'unico valore consentito.

Come funziona la condivisione limitata per i domini

Quando utilizzi un criterio dell'organizzazione per applicare la condivisione con limitazioni del dominio, a nessun principal al di fuori dei domini e delle persone che specifichi possono essere concessi ruoli IAM nella tua organizzazione.

Le sezioni seguenti descrivono alcuni dettagli chiave sul funzionamento dei vincoli di condivisione con limitazioni del dominio nella tua organizzazione.

I vincoli non sono retroattivi

I vincoli dei criteri dell'organizzazione non sono retroattivi. Una volta impostata una restrizione del dominio, la limitazione si applica alle modifiche ai criteri consentite da quel momento in poi e non a quelle precedenti.

Ad esempio, considera due organizzazioni correlate: examplepetstore.com e altostrat.com. Hai concesso a un'identità examplepetstore.com un ruolo IAM in altostrat.com. In un secondo momento, hai deciso di limitare le identità per dominio e hai implementato un criterio dell'organizzazione con il vincolo di limitazione del dominio in altostrat.com. In questo caso, le identità examplepetstore.com esistenti non perderebbero l'accesso in altostrat.com. Da quel momento in poi, potresti concedere ruoli IAM solo alle identità del dominio altostrat.com.

I vincoli vengono applicati ogni volta che viene impostata una policy IAM

I vincoli di restrizione dei domini si applicano a tutte le azioni in cui è impostato un criterio IAM. Sono incluse le azioni automatiche. Ad esempio, i vincoli si applicano alle modifiche apportate da un agente di servizio in risposta a un'altra azione. Ad esempio, se hai un servizio automatizzato che importa set di dati BigQuery, un service agent BigQuery apporterà modifiche alle norme IAM sul set di dati appena creato. Questa azione sarebbe limitata dal vincolo di limitazione del dominio e bloccata.

I vincoli non includono automaticamente il tuo dominio

Il dominio della tua organizzazione non viene aggiunto automaticamente all'elenco consentito di un criterio quando imposti il vincolo di limitazione del dominio. Per consentire alle entità del tuo dominio di ottenere ruoli IAM nella tua organizzazione, devi aggiungere il tuo dominio in modo esplicito. Se non aggiungi il tuo dominio e il ruolo Organization Policy Administrator (roles/orgpolicy.policyAdmin) viene rimosso da tutti gli utenti del tuo dominio, il criterio dell'organizzazione diventa inaccessibile.

Google Gruppi e condivisione limitata per i domini

Se nella tua organizzazione viene applicato il vincolo di restrizione del dominio, potresti non essere in grado di concedere ruoli ai gruppi Google appena creati, anche se i gruppi appartengono a un dominio consentito. Questo perché la propagazione completa di un gruppo può richiedere fino a 24 ore. Google CloudSe non riesci ad assegnare un ruolo a un gruppo Google appena creato, attendi 24 ore e poi riprova.

Inoltre, quando valuta se un gruppo appartiene a un dominio consentito, IAM valuta solo il dominio del gruppo. Non valuta i domini di nessuno dei membri del gruppo. Di conseguenza, gli amministratori dei progetti possono ignorare il vincolo di limitazione del dominio aggiungendo membri esterni ai gruppi Google e poi concedendo ruoli a questi gruppi Google.

Per garantire che gli amministratori di progetto non possano aggirare il vincolo di restrizione del dominio, l'amministratore di Google Workspace deve assicurarsi che i proprietari dei gruppi non possano consentire ai membri esterni al dominio nel pannello di amministrazione di Google Workspace.

Set di entità dell'organizzazione e ID cliente Google Workspace

Se utilizzi il vincolo gestito legacy iam.allowedPolicyMemberDomains per implementare la condivisione limitata dei domini, puoi limitare l'accesso in base al set di principal della tua organizzazione o all'ID cliente Google Workspace.

L'utilizzo del set di entità dell'organizzazione consente di concedere ruoli nella tua organizzazione alle seguenti entità:

Tutti i pool di identità della forza lavoro nella tua organizzazione
Tutti i service account e i pool di identità del workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione

L'utilizzo dell'ID cliente Google Workspace consente di concedere ruoli nella tua organizzazione ai seguenti principali:

Tutte le identità in tutti i domini, inclusi i sottodomini, associati al tuo ID cliente Google Workspace
Tutti i pool di identità della forza lavoro nella tua organizzazione
Tutti i service account e i pool di identità del workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione

Se vuoi implementare la condivisione con limitazioni del dominio per sottodomini specifici, devi creare un account Google Workspace separato per ogni sottodominio. Per maggiori informazioni sulla gestione di più account Google Workspace, vedi Gestione di più organizzazioni.