在 Identity and Access Management (IAM) 中,您可以控管「主體」的存取權。主體代表已向 Google Cloud驗證的一或多個身分。
在政策中使用主體
如要在政策中使用主體,請按照下列步驟操作:
設定可辨識的身分。 Google Cloud 設定身分是建立 Google Cloud 可辨識身分的程序。您可以為使用者和工作負載設定身分。
如要瞭解如何設定身分,請參閱下列文章:
判斷要使用的主要 ID。主體 ID 是您在政策中參照主體的方式。這個 ID 可以指單一身分或一組身分。
您使用的主體 ID 格式取決於下列事項:
- 主體類型
- 要將主體納入的政策類型
如要查看每種政策類型中,各類型主體的原則 ID 格式,請參閱「主體 ID」。
瞭解 ID 格式後,您就能根據主體的屬性 (例如主體的電子郵件地址),判斷主體的專屬 ID。
在政策中加入主體的 ID。按照政策格式,將主體新增至政策。
如要瞭解身分與存取權管理中的不同政策類型,請參閱政策類型。
支援主體類型
每種 IAM 政策類型都支援 IAM 支援的部分主體類型。如要查看各項政策類型支援的主體類型,請參閱「主體 ID」。
主體類型
IAM 支援下列類型的主體:
- Google 帳戶
- 服務帳戶
- Google 網路論壇
- Google Workspace 帳戶
- Cloud Identity 網域
allAuthenticatedUsersallUsers- 員工身分集區中的一或多個聯合身分
- 工作負載身分池中的一或多個聯合身分
- 一組 Google Kubernetes Engine Pod
- Resource Manager 主體集 (僅適用於主體存取權範圍政策繫結)
下列各節將詳細說明這些主要類型。
Google 帳戶
Google 帳戶代表開發人員、管理員,或任何其他與 Google Cloud 互動的人員。 Google Cloud 與 Google 帳戶相關聯的任何電子郵件地址 (也稱為受管理的使用者帳戶) 都可以做為主體。包括電子郵件地址和含有其他網域的電子郵件地址。gmail.com
如要進一步瞭解如何設定 Google 帳戶,請參閱「Cloud Identity 或 Google Workspace 帳戶」。
服務帳戶
服務帳戶是應用程式或運算工作負載的帳戶,而非個別使用者的帳戶。執行Google Cloud上託管的程式碼時,您可以指定要使用的服務帳戶做為應用程式的身分。您可以依您所需建立多個服務帳戶,來代表應用程式的不同邏輯元件。
如要進一步瞭解服務帳戶,請參閱服務帳戶總覽。
Google 網路論壇
Google 群組是 Google 帳戶的統稱。每個 Google 群組都有與該群組相關聯的專屬電子郵件地址。如要查看與 Google 網路論壇相關聯的電子郵件地址,請在每個 Google 網路論壇的首頁上按一下「關於」。如要進一步瞭解 Google 網路論壇,請參閱 Google 網路論壇首頁。
Google 群組可輕鬆對一組主體套用存取權控管。您可以一次對整個群組執行存取權授予和變更作業,省去逐一為個別主體執行存取權授予和變更作業的麻煩。您也可以在 Google 群組中新增或移除主體,不必更新允許政策來新增或移除主體。
Google 群組沒有登入憑證,因此您無法使用 Google 群組建立身分,要求存取資源。
如要進一步瞭解如何使用群組控管存取權,請參閱使用 Google 群組的最佳做法。
Google Workspace 帳戶
Google Workspace 帳戶代表一個虛擬群組,包含其中的所有 Google 帳戶。Google Workspace 帳戶會與貴機構的網際網路網域名稱 (如 example.com) 建立關聯。為新使用者 (例如 username@example.com) 建立 Google 帳戶時,該帳戶會新增至 Google Workspace 帳戶的虛擬群組。
與 Google 群組一樣,Google Workspace 帳戶無法用於建立身分,但可方便地管理權限。
Cloud Identity 網域
Cloud Identity 網域類似於 Google Workspace 帳戶,因為它代表機構中所有 Google 帳戶的虛擬群組。不過,Cloud Identity 網域使用者無法存取 Google Workspace 應用程式和功能。如要進一步瞭解相關資訊,請參閱關於 Cloud Identity。
allAuthenticatedUsers
allAuthenticatedUsers 值是一種特殊身分識別,代表任何透過 Google 帳戶進行驗證的服務帳戶和使用者。這個識別包含未連結至 Google Workspace 帳戶或 Cloud Identity 網域的帳戶,例如個人 Gmail 帳戶。未通過驗證的使用者,如匿名訪客,不會具有這個識別碼。
這類主體不包括聯合身分,這類身分是由外部身分識別提供者 (IdP) 管理。如果您使用員工身分聯盟或 Workload Identity 聯盟,請勿使用 allAuthenticatedUsers。請改用下列其中一種做法:
- 如要納入所有 IdP 的使用者,請使用
allUsers。 - 如要納入特定外部 IdP 的使用者,請使用工作團隊身分集區中的所有身分或工作負載身分集區中的所有身分的 ID。
部分資源類型不支援這類主體。
allUsers
allUsers 值是一個特殊識別碼,代表網際網路上的任何使用者,包括已驗證和未驗證的使用者。
部分資源類型不支援這類主體。
員工身分集區中的聯合身分
員工身分集區中的聯合身分是由外部 IdP 管理的使用者身分,並透過員工身分聯盟進行聯合。您可以使用工作團隊身分集區中的特定身分,也可以使用特定屬性,指定工作團隊身分集區中的一組使用者身分。
Workload Identity Pool 中的聯合身分
工作負載身分集區中的聯合身分是由外部 IdP 管理,並透過工作負載身分聯盟聯合。您可以在工作負載身分集區中使用特定工作負載身分,也可以使用特定屬性,在工作負載身分集區中指定一組工作負載身分。
GKE Pod
在 GKE 上執行的工作負載會使用 Workload Identity Federation for GKE 存取 Google Cloud 服務。如要進一步瞭解 GKE Pod 的主體 ID,請參閱「在 IAM 政策中參照 Kubernetes 資源」。
Resource Manager 主體集
每個 Resource Manager 資源 (專案、資料夾和機構) 都會與一組主體建立關聯。建立主體存取權範圍政策繫結時,您可以使用 Resource Manager 資源的主體集,參照與該資源相關聯的所有主體。
Resource Manager 資源的主體集包含下列主體:
- 專案主體集:指定專案中的所有服務帳戶和工作負載身分集區。
- 資料夾主體集:指定資料夾中任何專案的所有服務帳戶和所有工作負載身分集區。
機構主體組合:包含下列身分:
- 與 Google Workspace 客戶 ID 相關聯的所有網域中的所有身分
- 貴機構中的所有員工身分集區
- 組織中任何專案的所有服務帳戶和工作負載身分池