Identity and Access Management (IAM) bietet mehrere Arten von Richtlinien, mit denen Sie steuern können, auf welche Ressourcen Hauptkonten zugreifen können. Auf dieser Seite erfahren Sie, wie sich diese Richtlinientypen hinsichtlich Verwendung und Verwaltung unterscheiden.
IAM-Richtlinientypen
IAM bietet die folgenden Richtlinientypen:
- Zulassungsrichtlinien
- Ablehnungsrichtlinien
- Principal Access Boundary-Richtlinien
In der folgenden Tabelle werden die Unterschiede zwischen diesen Richtlinientypen zusammengefasst:
| Richtlinie | Richtlinienfunktion | API, die zum Verwalten der Richtlinie verwendet wird | Beziehung zwischen Richtlinien und Zielen | Methode zum Anhängen von Richtlinien an ein Ziel | Übergeordnete Ressource der Richtlinie |
|---|---|---|---|---|---|
| Zulassungsrichtlinien | Hauptkonten Zugriff auf Ressourcen gewähren | Die API für die Ressource, für die Sie Zulassungsrichtlinien verwalten möchten |
1:1-Beziehung Jede Zulassungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann nur eine Zulassungsrichtlinie haben. |
Ressource beim Erstellen der Richtlinie angeben | Entspricht der Ressource, der die Zulassungsrichtlinie zugeordnet ist |
| Ablehnungsrichtlinien | Verhindern, dass Hauptkonten bestimmte Berechtigungen verwenden | IAM v2 API |
1:n-Beziehung Jede Ablehnungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann bis zu 500 Ablehnungsrichtlinien haben. |
Ressource beim Erstellen der Ablehnungsrichtlinie angeben | Entspricht der Ressource, mit der die Ablehnungsrichtlinie verknüpft ist |
| PAB-Richtlinien | Ressourcen einschränken, auf die ein Hauptkonto zugreifen darf | IAM v3 API |
m:n-Beziehung Jede PAB-Richtlinie kann an eine unbegrenzte Anzahl von Hauptkontogruppen angehängt werden. Jede Hauptkontogruppe kann bis zu 10 PAB-Richtlinien haben. |
Erstellen Sie eine Richtlinienbindung, die die PAB-Richtlinie an eine Hauptkontogruppe anhängt. | Organisation |
In den folgenden Abschnitten finden Sie Details zu den einzelnen Richtlinientypen.
Richtlinien zum Gewähren von Zugriff für Hauptkonten
Verwenden Sie IAM-Zulassungsrichtlinien, um Hauptkonten Zugriff auf Ressourcen zu gewähren.
Mit Zulassungsrichtlinien können Sie Zugriff auf Ressourcen in Google Cloud gewähren. Zulassungsrichtlinien bestehen aus Rollenbindungen und Metadaten. Mit Rollenbindungen wird festgelegt, welche Hauptkonten eine bestimmte Rolle für die Ressource haben sollen.
Zulassungsrichtlinien sind immer mit einer einzelnen Ressource verknüpft. Nachdem Sie einer Ressource eine Zulassungsrichtlinie hinzugefügt haben, wird sie von den untergeordneten Elementen dieser Ressource übernommen.
Wenn Sie eine Zulassungsrichtlinie erstellen und anwenden möchten, müssen Sie eine Ressource angeben, für die Zulassungsrichtlinien zulässig sind. Verwenden Sie dann die Methode setIamPolicy dieser Ressource, um die Zulassungsrichtlinie zu erstellen. Allen Hauptkonten in der Zulassungsrichtlinie werden die angegebenen Rollen für die Ressource und alle untergeordneten Elemente der Ressource gewährt. Jede Ressource kann nur eine Zulassungsrichtlinie haben.
Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.
Richtlinien zum Verweigern des Zugriffs für Hauptkonten
Verwenden Sie IAM-Ablehnungsrichtlinien, um Hauptkonten den Zugriff auf Ressourcen zu verweigern. IAM-Ablehnungsrichtlinien sind in der IAM v2 API verfügbar.
Ablehnungsrichtlinien sind, genau wie Zulassungsrichtlinien, immer mit einer einzelnen Ressource verknüpft. Sie können eine Ablehnungsrichtlinie an ein Projekt, einen Ordner oder eine Organisation anhängen. Dieses Projekt, dieser Ordner oder diese Organisation ist auch das übergeordnete Element der Richtlinie in der Ressourcenhierarchie. Nachdem Sie einer Ressource eine Ablehnungsrichtlinie hinzugefügt haben, wird sie von den untergeordneten Elementen dieser Ressource übernommen.
Zum Erstellen und Anwenden von Ablehnungsrichtlinien verwenden Sie die IAM v2 API. Wenn Sie eine Deaktivierungsrichtlinie erstellen, geben Sie die Ressource an, an die die Deaktivierungsrichtlinie angehängt ist. Alle Hauptkonten in der Ablehnungsrichtlinie können die angegebenen Berechtigungen nicht für den Zugriff auf diese Ressource und ihre Nachfolgerelemente verwenden. An jede Ressource können bis zu 500 Ablehnungsrichtlinien angehängt werden.
Weitere Informationen zu Ablehnungsrichtlinien finden Sie unter Ablehnungsrichtlinien.
Richtlinien zum Einschränken der Ressourcen, auf die ein Hauptkonto zugreifen kann
Verwenden Sie eine Principal Access Boundary-Richtlinie, um einzuschränken, auf welche Ressourcen ein Hauptkonto zugreifen darf. Principal Access Boundary-Richtlinien sind in der IAM v3 API verfügbar.
Wenn Sie eine Principal Access Boundary-Richtlinie erstellen und anwenden möchten, erstellen Sie zuerst eine Principal Access Boundary-Richtlinie und dann eine Richtlinienbindung, um diese Richtlinie mit einem Hauptkontosatz zu verknüpfen.
Principal Access Boundary-Richtlinien sind immer untergeordnet Ihrer Organisation. Richtlinienbindungen für Principal Access Boundary-Richtlinie sind untergeordnete Elemente des Projekts, Ordners oder der Organisation, die dem in der Richtlinienbindung angegebenen Hauptkonto am nächsten ist.
Bei jeder Richtlinienbindung wird eine Principal Access Boundary-Richtlinie an eine Hauptkontogruppe gebunden. Eine Principal Access Boundary-Richtlinie kann an eine beliebige Anzahl von Hauptkontogruppen gebunden werden. An jede Hauptkontogruppe können bis zu zehn Principal Access Boundary-Richtlinien gebunden werden. Wenn eine Principal Access Boundary-Richtlinie gelöscht wird, werden auch alle zugehörigen Richtlinienbindungen gelöscht.
Weitere Informationen zu Principal Access Boundary-Richtlinien finden Sie unter Principal Access Boundary-Richtlinie.
Richtlinienbewertung
Wenn ein Hauptkonto versucht, auf eine Ressource zuzugreifen, wertet IAM alle relevanten Zulassungs-, Ablehnungs- und Principal Access Boundary-Richtlinie aus, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen darf. Wenn eine dieser Richtlinien angibt, dass das Hauptkonto nicht auf die Ressource zugreifen darf, verhindert IAM den Zugriff.
In Wirklichkeit wertet IAM alle Richtlinientypen gleichzeitig aus und fasst die Ergebnisse zusammen, um zu ermitteln, ob das Hauptkonto auf die Ressource zugreifen kann. Es kann jedoch hilfreich sein, sich diese Richtlinienbewertung in den folgenden Phasen vorzustellen:
-
IAM prüft alle relevanten Principal Access Boundary-Richtlinien, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen darf. Eine Principal Access Boundary-Richtlinie ist relevant, wenn Folgendes zutrifft:
- Die Richtlinie ist an eine Hauptkontogruppe gebunden, die das Hauptkonto enthält.
- Die Principal Access Boundary-Richtlinie blockiert die Berechtigung, die das Hauptkonto verwenden möchte. Welche Berechtigungen von einer Principal Access Boundary-Richtlinie blockiert werden, hängt von der Version der Principal Access Boundary-Richtlinie ab. Sie geben die Richtlinienversion an, wenn Sie die Principal Access Boundary-Richtlinie erstellen. Weitere Informationen finden Sie unter Principal Access Boundary-Richtlinienversionen.
Nachdem die entsprechenden Principal Access Boundary-Richtlinien geprüft wurden, führt IAM einen der folgenden Schritte aus:
- Wenn die relevanten Principal Access Boundary-Richtlinien die Ressource nicht enthalten, auf die das Hauptkonto zugreifen möchte, verhindert IAM den Zugriff auf die Ressource.
- Wenn die relevanten Principal Access Boundary-Richtlinien die Ressource enthalten, auf die das Hauptkonto zugreifen möchte, fährt IAM mit dem nächsten Schritt fort.
- Wenn es keine relevanten Principal Access Boundary-Richtlinie gibt oder wenn IAM die relevanten Principal Access Boundary-Richtlinien nicht auswerten kann, fährt IAM mit dem nächsten Schritt fort.
-
IAM prüft alle relevanten Ablehnungsrichtlinien, um festzustellen, ob die Berechtigung für das Hauptkonto abgelehnt wurde. Relevante Ablehnungsrichtlinien sind die Ablehnungsrichtlinien, die mit der Ressource verknüpft sind, sowie alle übernommenen Ablehnungsrichtlinien.
- Wenn irgendeine dieser Ablehnungsrichtlinien das Hauptkonto daran hindert, eine erforderliche Berechtigung zu verwenden, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn keine Ablehnungsrichtlinien verhindern, dass das Hauptkonto eine erforderliche Berechtigung verwendet, fährt IAM mit dem nächsten Schritt fort.
-
IAM prüft alle relevanten Zulassungsrichtlinien, um zu ermitteln, ob das Hauptkonto die erforderlichen Berechtigungen hat. Relevante Zulassungsrichtlinien sind die Zulassungsrichtlinien, die der Ressource zugeordnet sind, sowie alle übernommenen Zulassungsrichtlinien.
- Wenn der Hauptkonto nicht die erforderlichen Berechtigungen hat, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn das Hauptkonto die erforderlichen Berechtigungen hat, ermöglicht IAM ihm den Zugriff auf die Ressource.
Das folgende Diagramm zeigt diesen Richtlinienbewertungsablauf:
Nächste Schritte
- Weitere Informationen zu Zulassungsrichtlinien.
- Weitere Informationen zu Ablehnungsrichtlinien
- Weitere Informationen zu Principal Access Boundary-Richtlinien