這個頁面說明如何建立及委派範圍存取權政策。
事前準備
瞭解範圍政策。
請確認已將範圍存取權政策委派給委派管理員,且該管理員對繫結範圍政策的資料夾或專案具有
cloudasset.assets.searchAllResources權限。委派管理員必須具備這項權限,才能搜尋所有 Google Cloud 資源。瞭解如何設定 service perimeter。
建立範圍存取權政策
建立範圍存取政策,並將組織中的資料夾和專案管理權委派給其他使用者。建立範圍存取政策後,您就無法變更政策範圍。 如要變更現有政策的範圍,請刪除該政策,然後使用新範圍重新建立政策。
控制台
在 Google Cloud 控制台導覽選單中,依序點按「Security」(安全性) 和「VPC Service Controls」。
系統顯示提示時,請選取組織、資料夾或專案。
在「VPC Service Controls」頁面中,選取範圍政策的上層存取權政策。例如,您可以選取
default policy組織政策。點按「Manage policies」(管理政策)。
在「Manage VPC Service Controls」(管理 VPC Service Controls) 頁面上,點按「Create」(建立)。
在「Create access policy」(建立存取權政策) 頁面的「Access policy name」(存取權政策名稱) 方塊中,輸入範圍存取權政策的名稱。
範圍存取權政策名稱的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。範圍存取權政策名稱有大小寫之分,而且整個組織的存取權政策不得使用重複名稱。如要指定存取權政策的範圍,請點按「Scopes」(範圍)。
指定專案或資料夾做為存取權政策的範圍。
如要選取想新增至存取權政策範圍的專案,請按照下列步驟操作:
在「Scopes」(範圍) 窗格中,點按「Add project」(新增專案)。
在「Add project」(新增專案) 對話方塊中,勾選該專案的核取方塊。
點按「Done」(完成)。新增的專案會顯示在「Scopes」(範圍) 部分。
如要選取想新增至存取權政策範圍的資料夾,請按照下列步驟操作:
在「Scopes」(範圍) 窗格中,點按「Add folder」(新增資料夾)。
在「Add folder」(新增資料夾) 對話方塊中,選取該資料夾的核取方塊。
點按「Done」(完成)。新增的資料夾會顯示在「Scopes」(範圍) 部分。
如要委派範圍存取權政策的管理權,請點按「Principals」(主體)。
如要指定主體和要繫結至存取權政策的角色,請按照下列步驟操作:
在「Principals」(主體) 窗格中,點按「Add principals」(新增主體)。
在「Add principals」(新增主體) 對話方塊中選取主體,例如使用者名稱或服務帳戶。
選取要與主體建立關聯的角色,例如編輯者和讀取角色。
點按「Save」(儲存)。新增的主體和角色會顯示在「Principals」(主體) 部分。
在「Create access policy」(建立存取權政策) 頁面中,點按「Create access policy」(建立存取權政策)。
gcloud
使用 gcloud access-context-manager policies create 指令即可建立範圍存取權政策。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
POLICY_TITLE 是指政策的人類可讀標題。政策標題的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。政策標題有大小寫之分,而且整個組織的存取權政策不得使用重複標題。SCOPE 是適用這項政策的資料夾或專案。您只能指定一個資料夾或專案做為範圍,且該範圍必須存在於指定的組織內。如未指定範圍,這項政策會套用至整個組織。
畫面會顯示以下輸出內容 (其中 POLICY_NAME 是 Google Cloud指派給政策的專屬數字 ID):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
如要繫結主體和角色與範圍存取權政策,藉此委派管理權,請使用 add-iam-policy-binding 指令。
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
其中:
POLICY 是政策的 ID 或完整 ID。
PRINCIPAL 是您要新增繫結的主體。請用下列格式指定:
user|group|serviceAccount:email或domain:domain。ROLE 是要指派給主體的角色名稱。角色名稱是預先定義角色的完整路徑 (例如
roles/accesscontextmanager.policyEditor),或是自訂角色的角色 ID (例如organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor)。
API
按照下列步驟操作即可建立範圍存取權政策:
建立要求主體。
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
SCOPE 是適用這項政策的資料夾或專案。
POLICY_TITLE 是指政策的人類可讀標題。政策標題的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。政策標題有大小寫之分,而且整個組織的存取權政策不得使用重複標題。
呼叫
accessPolicies.create來建立存取權政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
回應主體
如果成功,呼叫的回應主體會包含 Operation 資源,其中提供有關 POST 作業的詳細資料。
如要委派範圍存取權政策的管理權,請按照下列步驟操作:
建立要求主體。
{ "policy": "IAM_POLICY", }
其中:
- IAM_POLICY 是一組繫結。繫結可將一或多個成員或主體與單一角色連結。主體可以是使用者帳戶、服務帳戶、Google 群組和網域。角色是具名權限清單,每個角色可以是 IAM 預先定義的角色,也可以是使用者建立的自訂角色。
呼叫
accessPolicies.setIamPolicy來委派存取權政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
回應主體
如果成功,回應主體會包含 policy 的執行個體。
後續步驟
- 瞭解如何管理現有 service perimeter。