Zugriffssteuerung mit IAM

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Sensitive Data Protection-Ressourcen steuern können.

Sensitive Data Protection verwendet Identity and Access Management (IAM), um den Zugriff auf Ressourcen zu steuern. IAM ist ein Tool zur Verwaltung der detaillierten Autorisierung für Ihre Google Cloud Ressourcen. Mit IAM können Sie also steuern, wer welche Aktionen für welche Ressourcen ausführen kann.

Wenn Sie Nutzern Zugriff auf eine Ressource mit IAM gewähren möchten, weisen Sie ihnen bestimmte Rollen zu. IAM-Rollen gewähren den Prinzipalen Berechtigungen zum Ausführen von Aufgaben für Ihre Sensitive Data Protection-Ressourcen.

Ausführliche Informationen zu IAM und seinen Funktionen finden Sie in der IAM-Dokumentation.

Zugriff auf Sensitive Data Protection-Ressourcen verwalten

Die häufigste Methode zum Verwalten des Zugriffs mit IAM sind Zulassungsrichtlinien. In Zulassungsrichtlinien wird aufgeführt, welche Hauptkonten Zugriff auf die Ressource haben und welche Aktionen sie für die Ressource ausführen können.

In den folgenden Abschnitten wird beschrieben, wie Sie mit Zulassungsrichtlinien über die Google Cloud Console und die Google Cloud CLI eine einzelne Rolle zuweisen und widerrufen. Sie können auch mehrere Rollen gleichzeitig zuweisen und widerrufen. Weitere Informationen finden Sie in der IAM-Dokumentation unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

In diesen Abschnitten geht es um das Gewähren und Widerrufen des Zugriffs auf Projektebene. Dadurch wird der Zugriff eines Nutzers auf das Projekt und alle Ressourcen im Projekt gesteuert.

Sie können auch Zulassungsrichtlinien verwenden, die an verschiedene Google Cloud Ressourcen angehängt sind, um den Zugriff auf anderen Ebenen der Ressourcenhierarchie zu verwalten. Weitere Informationen finden Sie in der IAM-Dokumentation unter Ressourcenhierarchie für Zugriffs steuerung verwenden.

Nicht alle Ressourcen unterstützen Zulassungsrichtlinien. Welche Ressourcen Sie an Zulassungsrichtlinien anhängen können , erfahren Sie in der IAM-Dokumentation unter Ressourcen, die Zulassungsrichtlinien unterstützen.

Informationen zu anderen Richtlinien, mit denen Sie den Zugriff mit IAM steuern können, z. B. Ablehnungsrichtlinien, finden Sie in der IAM-Dokumentation unter IAM Richtlinientypen.

Einzelne IAM-Rolle zuweisen

So weisen Sie einem Hauptkonto eine einzelne Rolle zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
  3. Wählen Sie ein Hauptkonto aus, dem Sie eine Rolle zuweisen möchten:
    • Wenn Sie einem Hauptkonto eine zusätzliche Rolle für die Ressource zuweisen möchten, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Hauptkonto bearbeiten Zeile auf und klicken Sie auf Weitere Rolle hinzufügen.

      Wenn Sie einem Dienst-Agenten eine Rolle zuweisen möchten, wählen Sie das Kästchen Von Google-bereitgestellte Rollenzuweisungen einschließen aus, um die entsprechende E-Mail-Adresse zu sehen.

    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Zugriff gewähren und geben Sie dann eine Hauptkonto-ID ein, z. B. my-user@example.com oder //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
  4. Wählen Sie eine zu gewährende Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.
  5. Optional: Fügen Sie der Rolle eine Bedingung hinzu.
  6. Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.

gcloud

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Befehlszeilenaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  2. Der add-iam-policy-binding Befehl ermöglicht es Ihnen, einem Hauptkonto schnell eine Rolle zuzuweisen.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie den Zugriff verwalten möchten. Verwenden Sie projects, resource-manager folders oder organizations.

    • RESOURCE_ID: Ihre Google Cloud Projekt-, Ordner, oder Organisations-ID. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com oder principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com. Eine vollständige Liste der für PRINCIPAL zulässigen Werte finden Sie unter Hauptkonto-IDs.

      Beim Hauptkontotyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.

    • ROLE_NAME: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:

      • Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
      • Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
      • Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER

      Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.

    • CONDITION: Die Bedingung, die der Rollenbindung hinzugefügt werden soll. Wenn Sie keine Bedingung hinzufügen möchten, verwenden Sie den Wert None. Weitere Informationen zu Bedingungen finden Sie in der Übersicht der Bedingungen.

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION

    Windows (PowerShell)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION

    Windows (cmd.exe)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION

    Die Antwort enthält die aktualisierte IAM-Zulassungsrichtlinie.

Einzelne IAM-Rolle widerrufen

So widerrufen Sie eine einzelne Rolle eines Hauptkontos:

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
  3. Suchen Sie die Zeile mit dem Hauptkonto, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann in dieser Zeile auf Hauptkonto bearbeiten.
  4. Klicken Sie für die Rolle, die Sie entziehen möchten, auf die Schaltfläche Löschen und dann auf Speichern.

gcloud

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Befehlszeilenaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  2. Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den remove-iam-policy-binding Befehl aus:

    gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME

    Geben Sie folgende Werte an:

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie den Zugriff verwalten möchten. Verwenden Sie projects, resource-manager folders, oder organizations.

    • RESOURCE_ID: Ihre Google Cloud Projekt-, Ordner, oder Organisations-ID. Projekt-IDs sind alphanumerisch, z. B. my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com oder principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.

      Beim Hauptkontotyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.

    • ROLE_NAME: Der Name der Rolle, die Sie aufheben möchten. Verwenden Sie eines der folgenden Formate:

      • Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
      • Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
      • Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER

      Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.

    So widerrufen Sie z. B. die Rolle Projektersteller“ des Dienstkontos example-service-account@example-project.iam.gserviceaccount.com für das Projekt example-project:

    gcloud projects remove-iam-policy-binding example-project \
      --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com \
      --role=roles/resourcemanager.projectCreator

Um zu vermeiden, dass Sie erforderliche Rollen widerrufen, können Sie Empfehlungen zu Änderungsrisiken aktivieren. Empfehlungen zu Änderungsrisiken geben Warnungen aus, wenn Sie versuchen, Rollen auf Projektebene zu widerrufen, die Google Cloud als wichtig identifiziert hat.

Bedingter Zugriff

Mit IAM Conditions können Sie Ihre Richtlinien detaillierter gestalten, indem Sie Hauptkonten nur dann Zugriff gewähren, wenn bestimmte Bedingungen erfüllt sind. Bedingungen basieren auf Attributen, die sich auf das Hauptkonto, die Ressource und die Anfrage beziehen. Sie können einem Hauptkonto beispielsweise nur dann Zugriff gewähren, wenn es von einem bestimmten Standort oder zu einer bestimmten Zeit auf die Ressource zugreift.

Bedingungen in Zulassungsrichtlinien basieren auf den folgenden Attributtypen:

  • Ressourcenattribute: Dazu gehören der Dienst, der Typ oder der Name der Ressource. Diese Attribute werden in der Regel verwendet, um den Umfang eines Zugriffs zu ändern, der durch eine Rollenbindung gewährt wird.
  • Anfrageattribute: Dazu gehören Details der Anfrage, z. B. die Uhrzeit oder die Zugriffsebene des Hauptkontos, das die Anfrage gestellt hat. Mit diesen Attributen können Sie Bedingungen erstellen, mit denen Details zu der Anfrage ausgewertet werden, z. B. Zugriffsebene, Datum und Uhrzeit, Ziel-IP Adresse und -Port oder der erwartete URL-Pfad.

Weitere Informationen zu den von Sensitive Data Protection unterstützten Bedingungsattributen finden Sie in der IAM-Dokumentation unter der Attributreferenz für IAM Conditions.

Sie können keinen bedingten Zugriff direkt auf Ressourcen zum Schutz sensibler Daten gewähren. Sie können jedoch bedingten Zugriff auf Ressourcentypen zum Schutz sensibler Daten gewähren, indem Sie Hauptkonten Rollen für eine Containerressource wie ein Projekt, einen Ordner oder eine Organisation zuweisen und diesen Rollenbindungen Bedingungen hinzufügen. Bedingungen, die der Zulassungsrichtlinie einer Containerressource hinzugefügt werden, werden von den Ressourcen übernommen, die in dieser Containerressource enthalten sind. Weitere Informationen zu übernommenen Bedingungen finden Sie in der IAM-Dokumentation unter Unterstützung für übernommene Bedingungen.

Informationen zum Hinzufügen von Bedingungen zu Rollenbindungen finden Sie in der IAM-Dokumentation unter Bedingte Rollenbindungen verwalten.

Nächste Schritte