Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über Zugriffsgrenzen für Anmeldedaten

Auf dieser Seite werden Zugriffsgrenzen für Anmeldedaten beschrieben, mit denen Sie die Berechtigungen der Identity and Access Management (IAM) downscope oder einschränken können, die von kurzlebigen Anmeldedaten verwendet werden können.

Sie können mit Zugriffsbeschränkungen für Anmeldedaten OAuth 2.0-Zugriffstoken generieren, die ein Dienstkonto darstellen, aber weniger Berechtigungen als das Dienstkonto haben. Wenn einer Ihrer Kunden beispielsweise auf von Ihnen kontrollierte Cloud Storage-Daten zugreifen muss, können Sie so vorgehen:

Erstellen Sie ein Dienstkonto, das auf jeden Ihrer Cloud Storage-Buckets zugreifen kann.
Generieren Sie ein OAuth 2.0-Zugriffstoken für das Dienstkonto.
Wenden Sie eine Zugriffsbeschränkung für Anmeldedaten an, die nur den Zugriff auf den Bucket zulässt, der die Daten Ihres Kunden enthält.

Funktionsweise der Anmeldedaten-Zugriffsgrenzen

Damit Sie Berechtigungen herabstufen können, definieren Sie eine Zugriffsgrenze für Anmeldedaten, die angibt, auf welche Ressourcen die kurzlebigen Anmeldedaten zugreifen können, sowie eine Obergrenze für die Berechtigungen, die für jede Ressource verfügbar sind. Anschließend können Sie kurzlebige Anmeldedaten erstellen und diese dann gegen eine neue Anmeldedatenquelle eintauschen, die die Zugriffsgrenze für Anmeldedaten einhält.

Wenn Sie Hauptkonten für jede Sitzung einen eigenen Berechtigungssatz zuweisen müssen, ist die Verwendung von Zugriffsgrenzen für Anmeldedaten effizienter als die Erstellung vieler verschiedener Dienstkonten und die Zuweisung unterschiedlicher Rollen für jedes Dienstkonto.

Komponenten einer Zugriffsgrenze für Anmeldedaten

Eine Zugriffsgrenze für Anmeldedaten ist ein Objekt, das eine Liste von Zugriffsbegrenzungsregeln enthält. Jede Regel enthält diese Informationen:

Die Ressource, für die die Regel gilt.
Die Obergrenze der Berechtigungen, die für diese Ressource verfügbar ist.
Optional: Eine Bedingung, die Berechtigungen weiter einschränkt. Eine Bedingung umfasst Folgendes:
- Ein Bedingungsausdruck, der zu true oder false ausgewertet wird. Wenn der Wert true ergibt, wird der Zugriff zugelassen. Andernfalls wird der Zugriff verweigert.
- Optional: Ein Titel zum Identifizieren der Bedingung.
- Optional: Eine Beschreibung mit weiteren Informationen zur Bedingung.

Wenn Sie eine Zugriffsgrenze für Anmeldedaten auf kurzlebige Anmeldedaten anwenden, können die Anmeldedaten nur auf die Ressourcen innerhalb der Zugriffsgrenze für Anmeldedaten zugreifen. Für andere Ressourcen sind keine Berechtigungen verfügbar.

Eine Zugriffsgrenze für Anmeldedaten kann bis zu zehn Regeln zur Zugriffsgrenze enthalten. Sie können jeweils nur eine Zugriffsgrenze für Anmeldedaten auf alle kurzlebigen Anmeldedaten anwenden.

Bei der Darstellung als JSON-Objekt enthält eine Zugriffsgrenze für Anmeldedaten die folgenden Felder:

Felder
`accessBoundary`	`object` Ein Wrapper für die Zugriffsgrenze für Anmeldedaten.
`accessBoundary.accessBoundaryRules[]`	`object` Eine Liste mit Zugriffsgrenzen, die auf kurzlebige Anmeldedaten angewendet werden.
`accessBoundary.accessBoundaryRules[].availablePermissions[]`	`string` Eine Liste, die die Obergrenze der verfügbaren Berechtigungen für die Ressource definiert. Jeder Wert ist die Kennung für eine vordefinierte IAM-Rolle oder für eine benutzerdefinierte Rolle mit dem Präfix `inRole:`. Beispiel: `inRole:roles/storage.objectViewer`. Nur die Berechtigungen in diesen Rollen sind verfügbar. Hinweis: Sie können die Namen von Berechtigungen nicht direkt angeben. Geben Sie stattdessen eine Rolle an, in der die Berechtigung angezeigt wird. Erstellen Sie bei Bedarf eine benutzerdefinierte Rolle, die nur die benötigten Berechtigungen enthält.
`accessBoundary.accessBoundaryRules[].availableResource`	`string` Der vollständige Ressourcenname des Cloud Storage-Buckets, für den die Regel gilt. Verwenden Sie das Format `//storage.googleapis.com/projects/_/buckets/bucket-name`.
`accessBoundary.accessBoundaryRules[].availabilityCondition`	`object` Optional: Eine Bedingung, die die Verfügbarkeit von Berechtigungen auf bestimmte Cloud Storage-Objekte beschränkt. Verwenden Sie dieses Feld, wenn Sie Berechtigungen für bestimmte Objekte und nicht für alle Objekte in einem Cloud Storage-Bucket erteilen möchten.
`accessBoundary.accessBoundaryRules[].availabilityCondition.expression`	`string` Ein Bedingungsausdruck, der die Cloud Storage-Objekte angibt, in denen Berechtigungen verfügbar sind. Informationen zum Verweisen auf bestimmte Objekte in einem Bedingungsausdruck finden Sie unter Attribut `resource.name` und `api.getAttribute("storage.googleapis.com/objectListPrefix")`-Attribut. Hinweis: Wenn eine Ihrer Anwendungen Cloud Storage-Objekte auflistet und den Parameter `prefix` zum Filtern der Antwort verwendet, müssen Sie zusätzliche Schritte ausführen, um einen Konflikt zwischen dem IAM-Bedingungsausdruck und dem Cloud Storage-Filter zu verhindern. Weitere Informationen finden Sie unter Berechtigungen beim Auflisten von Objekten einschränken auf dieser Seite.
`accessBoundary.accessBoundaryRules[].availabilityCondition.title`	`string` Optional: Ein kurzer String, der den Zweck der Bedingung angibt.
`accessBoundary.accessBoundaryRules[].availabilityCondition.description`	`string` Optional: Details zum Zweck der Bedingung.

Beispiele im JSON-Format finden Sie auf dieser Seite unter Beispiele für Zugriffsgrenzen für Anmeldedaten.

Beispiele für Anmeldedaten-Zugriffsgrenzen

In den folgenden Abschnitten werden Beispiele für Anmeldedaten-Zugriffsgrenzen für gängige Anwendungsfälle aufgeführt. Sie verwenden die Zugriffsgrenze für Anmeldedaten, wenn Sie ein OAuth 2.0-Zugriffstoken gegen ein herabgestuftes Token austauschen.

Berechtigungen für einen Bucket einschränken

Das folgende Beispiel zeigt eine einfache Zugriffsgrenze für Anmeldedaten. Sie gilt für den Cloud Storage-Bucket example-bucket und legt die Obergrenze für die Berechtigungen fest, die in der Rolle "Storage Object-Betrachter" (roles/storage.objectViewer) enthalten sind:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
      }
    ]
  }
}

Berechtigungen für mehrere Buckets einschränken

Das folgende Beispiel zeigt eine Zugriffsgrenze für Anmeldedaten mit Regeln für mehrere Buckets:

Der Cloud Storage-Bucket example-bucket-1: Für diesen Bucket sind nur die Berechtigungen in der Rolle "Storage-Objekt-Betrachter" (roles/storage.objectViewer) verfügbar.
Der Cloud Storage-Bucket example-bucket-2: Für diesen Bucket sind nur die Berechtigungen der Rolle "Storage-Objekt-Ersteller" (roles/storage.objectCreator) verfügbar.

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
      },
      {
        "availablePermissions": [
          "inRole:roles/storage.objectCreator"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
      }
    ]
  }
}

Berechtigungen für bestimmte Objekte einschränken

Sie können auch IAM Conditions verwenden, um zu bestimmen, auf welche Cloud Storage-Objekte ein Hauptkonto zugreifen kann. Sie können beispielsweise eine Bedingung hinzufügen, die die Berechtigungen für Objekte verfügbar macht, deren Name mit customer-a beginnt:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')"
        }
      }
    ]
  }
}

Berechtigungen beim Auflisten von Objekten einschränken

Wenn Sie die Objekte in einem Cloud Storage-Bucket auflisten, rufen Sie eine Methode für eine Bucket-Ressource auf und keine Objektressource. Wenn eine Bedingung für eine Listenanfrage ausgewertet wird und die Bedingung auf den Ressourcennamen verweist, gibt der Ressourcenname den Bucket und kein Objekt innerhalb des Buckets an. Wenn Sie beispielsweise Objekte in example-bucket auflisten, lautet der Ressourcenname projects/_/buckets/example-bucket.

Diese Namenskonvention kann beim Auflisten von Objekten zu unerwartetem Verhalten führen. Angenommen, Sie möchten eine Zugriffsgrenze für Anmeldedaten, die den Lesezugriff auf Objekte in example-bucket mit dem Präfix customer-a/invoices/ ermöglicht. Sie können versuchen, die folgende Bedingung in der Zugriffsgrenze für Anmeldedaten zu verwenden:

Unvollständig: Bedingung, die nur den Ressourcennamen überprüft

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')

Diese Bedingung funktioniert zum Lesen von Objekten, nicht jedoch zum Auflisten von Objekten:

Wenn ein Hauptkonto versucht, ein Objekt in example-bucket mit dem Präfix customer-a/invoices/ zu lesen, wird die Bedingung als true ausgewertet.
Wenn ein Hauptkonto versucht, Objekte mit diesem Präfix aufzulisten, wird die Bedingung als false ausgewertet. Der Wert von resource.name ist projects/_/buckets/example-bucket, der nicht mit projects/_/buckets/example-bucket/objects/customer-a/invoices/ beginnt.

Zur Vermeidung dieses Problems kann die Bedingung nicht nur resource.name.startsWith(), sondern auch ein API-Attribut namens storage.googleapis.com/objectListPrefix prüfen. Dieses Attribut enthält den Wert des Parameters prefix, der zum Filtern der Liste der Objekte verwendet wurde. Daher können Sie eine Bedingung schreiben, die auf den Wert des Parameters prefix verweist.

Das folgende Beispiel zeigt, wie das API-Attribut in einer Bedingung verwendet wird. Sie ermöglicht das Lesen und Auflisten von Objekten in example-bucket mit dem Präfix customer-a/invoices/:

Vollständig: Bedingung, die den Ressourcennamen und das Präfix prüft

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')  ||
    api.getAttribute('storage.googleapis.com/objectListPrefix', '')
                     .startsWith('customer-a/invoices/')

Sie können diese Bedingung nun in einer Zugriffsgrenze für Anmeldedaten verwenden:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression":
            "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
        }
      }
    ]
  }
}