Erstellen Sie eine bereichsbezogene Zugriffsrichtlinie

Auf dieser Seite wird beschrieben, wie Sie bereichsbezogene Zugriffsrichtlinien erstellen und delegieren.

Vorbereitung

  • Lesen Sie die Informationen zu bereichsbezogenen Richtlinien.

  • Lesen Sie nach, wie Sie den Zugriff auf VPC Service Controls gewähren.

  • Der delegierte Administrator, an den die bereichsbezogene Zugriffsrichtlinie delegiert wird, muss die Berechtigung cloudasset.assets.searchAllResources für den Ordner oder das Projekt haben, an das die bereichsbezogene Richtlinie gebunden ist. Diese Berechtigung ist für den delegierten Administrator erforderlich, um alle Google Cloud -Ressourcen zu durchsuchen.

  • Lesen Sie nach, wie Sie Dienstperimeter konfigurieren.

Bereichsbezogene Zugriffsrichtlinie erstellen

Erstellen Sie eine Zugriffsrichtlinie für Bereiche und delegieren Sie die Verwaltung an Ordner und Projekte in der Organisation. Nachdem Sie eine Zugriffsrichtlinie für den Bereich erstellt haben, können Sie den Bereich der Richtlinie nicht mehr ändern. Löschen Sie die Richtlinie und erstellen Sie sie mit dem neuen Bereich neu, wenn Sie den Bereich einer vorhandenen Richtlinie ändern möchten.

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zu VPC Service Controls

  2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Wählen Sie auf der Seite VPC Service Controls die Zugriffsrichtlinie aus, die der bereichsbezogenen Richtlinie übergeordnet ist. Sie können beispielsweise die Organisationsrichtlinie default policy auswählen.

  4. Klicken Sie auf Richtlinien verwalten.

  5. Klicken Sie auf der Seite VPC Service Controls verwalten auf Erstellen.

  6. Geben Sie auf der Seite Zugriffsrichtlinie erstellen im Feld Name der Zugriffsrichtlinie einen Namen für die bereichsbezogene Zugriffsrichtlinie ein.

    Der Name der bereichsbezogenen Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a–z, A–Z), Zahlen (0–9) oder Unterstriche (_) enthalten. Beim Namen der bereichsbezogenen Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  7. Klicken Sie auf Bereiche, um einen Bereich für die Zugriffsrichtlinie anzugeben.

  8. Geben Sie entweder ein Projekt oder einen Ordner als Bereich der Zugriffsrichtlinie an.

    • So wählen Sie ein Projekt aus, das Sie dem Bereich der Zugriffsrichtlinie hinzufügen möchten:

      1. Klicken Sie unter Bereiche auf Projekt hinzufügen.

      2. Klicken Sie im Dialogfeld Projekt hinzufügen das Kästchen für dieses Projekt an.

      3. Klicken Sie auf Fertig. Das hinzugefügte Projekt wird im Abschnitt Bereiche angezeigt.

    • So wählen Sie einen Ordner aus, den Sie dem Bereich der Zugriffsrichtlinie hinzufügen möchten:

      1. Klicken Sie unter Bereiche auf Ordner hinzufügen.

      2. Klicken Sie im Dialogfeld Ordner hinzufügen das Kästchen für diesen Ordner an.

      3. Klicken Sie auf Fertig. Der hinzugefügte Ordner wird im Abschnitt Bereiche angezeigt.

  9. Klicken Sie auf Hauptkonten, um die Verwaltung der bereichsbezogenen Zugriffsrichtlinie zu delegieren.

  10. So geben Sie das Hauptkonto und die Rolle an, die Sie an die Zugriffsrichtlinie binden möchten:

    1. Klicken Sie im Bereich Hauptkonten auf Hauptkonten hinzufügen.

    2. Wählen Sie im Dialogfeld Hauptkonten hinzufügen ein Hauptkonto aus, z. B. einen Nutzernamen oder ein Dienstkonto.

    3. Wählen Sie die Rolle aus, die Sie dem Hauptkonto zuordnen möchten, z. B. „Editor“ und „Read“.

    4. Klicken Sie auf Speichern. Das hinzugefügte Hauptkonto und die hinzugefügte Rolle werden im Abschnitt Hauptkonten angezeigt.

  11. Klicken Sie auf der Seite Zugriffsrichtlinie erstellen auf Zugriffsrichtlinie erstellen.

gcloud

Verwenden Sie den Befehl gcloud access-context-manager policies create, um eine bereichsbezogene Zugriffsrichtlinie zu erstellen.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dabei gilt:

  • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

  • POLICY_TITLE ist ein menschenlesbarer Titel für die Richtlinie. Der Name der Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a–z, A–Z), Zahlen (0–9) oder Unterstriche (_) enthalten. Beim Namen der Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  • SCOPE ist der Ordner oder das Projekt, auf den diese Richtlinie angewendet wird. Sie können nur einen Ordner oder ein Projekt als Bereich angeben und der Bereich muss in der angegebenen Organisation vorhanden sein. Wenn Sie keinen Bereich angeben, gilt die Richtlinie für die gesamte Organisation.

Die folgende Ausgabe wird angezeigt, wobei POLICY_NAME eine eindeutige numerische Kennung für die Richtlinie ist, die von der Google Cloudzugewiesen wird:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Verwenden Sie den Befehl add-iam-policy-binding, um die Verwaltung zu delegieren, indem Sie ein Hauptkonto und eine Rolle mit einer bereichsbezogenen Zugriffsrichtlinie verknüpfen.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dabei gilt:

  • POLICY ist die ID der Richtlinie oder die voll qualifizierte Kennung für die Richtlinie.

  • PRINCIPAL ist das Hauptkonto, für das die Bindung hinzugefügt werden soll. Geben Sie das folgende Format an: user|group|serviceAccount:email oder domain:domain.

  • ROLE ist der Rollenname, der dem Hauptkonto zugewiesen werden soll. Der Rollenname ist der vollständige Pfad einer vordefinierten Rolle, z. B. roles/accesscontextmanager.policyEditor, oder die Rollen-ID für eine benutzerdefinierte Rolle, z. B. organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

So erstellen Sie eine bereichsbezogene Zugriffsrichtlinie:

  1. Erstellen Sie einen Anfragetext.

    {
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}

    Dabei gilt:

    • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

    • SCOPE ist der Ordner oder das Projekt, auf den diese Richtlinie angewendet wird.

    • POLICY_TITLE ist ein menschenlesbarer Titel für die Richtlinie. Der Name der Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a–z, A–Z), Zahlen (0–9) oder Unterstriche (_) enthalten. Beim Namen der Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  2. Erstellen Sie die Zugriffsrichtlinie, indem Sie accessPolicies.create aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

So delegieren Sie die Verwaltung der bereichsbezogenen Zugriffsrichtlinie:

  1. Erstellen Sie einen Anfragetext.

    {
 "policy": "IAM_POLICY",
}

    Dabei gilt:

    • IAM_POLICY ist eine Sammlung von Bindungen. Eine Bindung bindet ein oder mehrere Mitglieder oder Hauptkonten an eine einzelne Rolle. Hauptkonten können Nutzerkonten, Dienstkonten, Google-Gruppen und Domains sein. Eine Rolle ist eine benannte Liste von Berechtigungen. Dabei kann es sich um jede vordefinierte IAM-Rolle oder eine vom Nutzer erstellte benutzerdefinierte Rolle handeln.

  2. Delegieren Sie die Zugriffsrichtlinie, indem Sie accessPolicies.setIamPolicy aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Antworttext

Wenn der Vorgang erfolgreich abgeschlossen wurde, enthält der Antworttext eine Instanz von policy.

Nächste Schritte