您可以透過「網域限定共用」功能,根據網域或機構資源限制資源共用。啟用網域限定共用後,只有屬於允許網域或機構的主體,才能在 Google Cloud 機構中獲派 IAM 角色。
限制網域共用的方法
您可以使用機構政策服務,透過下列幾種方式,根據網域或機構資源限制資源共用:
iam.managed.allowedPolicyMembers受管理限制:您可以強制執行這項受管理限制,只允許將角色授予您在限制中列出的主體和主體集。透過這項受管理限制,您可以列出要允許授予角色的主體和主體集。如要允許將角色授予貴機構中的所有主體,請在限制中加入機構的主體集。
如要瞭解如何設定這項限制,請參閱「使用
iam.managed.allowedPolicyMembers限制條件實作網域限制分享功能」。參照
iam.googleapis.com/AllowPolicy資源的自訂機構政策:您可以使用自訂機構政策,只允許將角色授予特定主體。在大多數情況下,您應使用
iam.managed.allowedPolicyMembers受管理限制,而非自訂機構政策。不過,只有在使用自訂機構政策時,才能使用下列設定選項:- 根據成員類型設定允許的主體
- 防止特定主體獲得角色
- 允許將角色授予
allUsers和allAuthenticatedUsers等特殊主體
如要透過自訂機構政策設定網域限制共用,請使用下列 CEL 函式定義機構中可獲派角色的使用者:
如要允許將角色授予貴機構中的所有主體,請在
memberInPrincipalSet函式中指定貴機構的主體集,並在限制條件中加入貴機構的主體集。如要進一步瞭解如何使用這些 CEL 函式建立自訂機構政策,請參閱「使用自訂機構政策實作網域限制共用功能」。
iam.allowedPolicyMemberDomains舊版受管理限制:您可以強制執行這項舊版受管理限制,只允許將角色授予貴機構中的主體。您可以根據機構主體集或 Google Workspace 客戶 ID 限制存取權。如要瞭解這些 ID 的差異,請參閱本頁面的「機構主體集與 Google Workspace 客戶 ID」。這項限制不允許您為特定主體設定例外狀況。舉例來說,假設您需要在強制執行
iam.allowedPolicyMemberDomains限制的機構中,授予服務代理程式角色。服務代理是由 Google 建立及管理,因此不屬於您的機構、Google Workspace 帳戶或 Cloud Identity 網域。因此,如要將角色授予服務代理,您必須先停用限制,授予角色,然後重新啟用限制。您可以在資料夾或專案層級覆寫機構政策,變更允許在哪些資料夾或專案中授予角色的使用者。詳情請參閱「覆寫專案的組織政策」。
如要瞭解如何設定這項限制,請參閱「使用
iam.allowedPolicyMemberDomains限制條件實作網域限制分享功能」。
網域限定共用功能的運作方式
使用機構政策強制執行網域限制共用時,您指定的網域和個人以外的主體,都無法在機構中獲得 IAM 角色。
以下各節將說明貴機構的網域限制共用限制運作方式。
限制不會溯及既往
機構政策限制不會溯及既往。網域限制設定後,此限制會套用於之後的允許政策變更,先前的變更則不受影響。
舉例來說,假設有兩個相關機構:examplepetstore.com 和 altostrat.com。您已在 altostrat.com 中授予 examplepetstore.com 身分 IAM 角色。後來,您決定依網域限制身分,並在 altostrat.com 中實施包含網域限制的機構政策。在這種情況下,現有的 examplepetstore.com 身分不會失去在 altostrat.com 的存取權。從那時起,您只能將 IAM 角色授予 altostrat.com 網域的身分。
設定 IAM 政策時,系統一律會套用限制
網域限制條件會套用至所有設定 IAM 政策的動作。包括自動動作。舉例來說,限制會套用至服務代理程式因應其他動作而進行的變更。舉例來說,如果您有匯入 BigQuery 資料集的自動化服務,BigQuery 服務代理程式會在新建的資料集上進行 IAM 政策變更。這項操作會受到網域限制條件的限制,因此遭到封鎖。
限制不會自動包含您的網域
設定網域限制時,貴機構的網域不會自動加入政策的允許清單中。如要允許網域中的主體在貴機構中獲授 IAM 角色,您必須明確新增網域。如果未新增網域,且網域中所有使用者的「機構政策管理員」角色 (roles/orgpolicy.policyAdmin) 遭移除,您將無法存取機構政策。
Google 群組和網域限定共用
如果貴機構強制執行網域限制條件,您可能無法將角色授予新建立的 Google 群組,即使這些群組屬於允許的網域也一樣。這是因為群組最多可能需要 24 小時才會全面套用到 Google Cloud。如果無法將角色授予新建立的 Google 群組,請等待 24 小時後再試一次。
此外,評估群組是否屬於允許的網域時,IAM 只會評估群組的網域。不會評估群組中任何成員的網域。因此,專案管理員可以將外部成員新增至 Google 群組,然後授予這些 Google 群組角色,藉此略過網域限制條件。
為確保專案管理員無法規避網域限制條件,Google Workspace 管理員應在 Google Workspace 管理員面板中,確保群組擁有者無法允許網域外部的成員。
機構主體組合與 Google Workspace 客戶 ID
如果您使用iam.allowedPolicyMemberDomains舊版受管理限制來實作網域限定共用,則可根據機構主體集或 Google Workspace 客戶 ID 限制存取權。
使用機構主體集,可讓下列主體在機構中獲得角色:
- 貴機構中的所有員工身分集區
- 機構中任何專案的所有服務帳戶和工作負載身分池
- 與貴機構資源相關聯的所有服務代理程式
使用 Google Workspace 客戶 ID,即可在貴機構中授予下列主體角色:
- 與 Google Workspace 客戶 ID 相關聯的所有網域 (包括子網域) 中的所有身分
- 貴機構中的所有員工身分集區
- 機構中任何專案的所有服務帳戶和工作負載身分池
- 與貴機構資源相關聯的所有服務代理程式
如要為特定子網域實作網域限制共用功能,請為每個子網域建立個別的 Google Workspace 帳戶。如要進一步瞭解如何管理多個 Google Workspace 帳戶,請參閱「管理多個機構」。