Diese Seite wurde von der Cloud Translation API übersetzt.

Domaineingeschränkte Freigabe

Mit der domaineingeschränkten Freigabe können Sie die Ressourcenfreigabe auf Grundlage einer Domain oder Organisationsressource einschränken. Wenn die domaineingeschränkte Freigabe aktiv ist, können nur Hauptkonten, die zu zulässigen Domains oder Organisationen gehören, IAM-Rollen in Ihrer Google Cloud -Organisation erhalten.

Methoden zum Einschränken der Freigabe nach Domain

Es gibt mehrere Möglichkeiten, mit dem Organization Policy Service die Ressourcenfreigabe auf Grundlage von Domains oder Organisationsressourcen einzuschränken:

Die verwaltete Einschränkung iam.managed.allowedPolicyMembers: Sie können diese verwaltete Einschränkung erzwingen, damit Rollen nur den Hauptkonten und Hauptkontogruppen zugewiesen werden können, die Sie in der Einschränkung auflisten.

Mit dieser verwalteten Einschränkung listen Sie die Hauptkonten und Hauptkontogruppen auf, denen Rollen zugewiesen werden dürfen. Damit Rollen allen Hauptkonten in Ihrer Organisation zugewiesen werden können, muss die Hauptkontogruppe der Organisation in der Einschränkung enthalten sein.

Informationen zum Festlegen dieser Einschränkung finden Sie unter Die Einschränkung iam.managed.allowedPolicyMembers verwenden, um das Teilen auf bestimmte Domains zu beschränken.
Benutzerdefinierte Organisationsrichtlinie, die auf die Ressource iam.googleapis.com/AllowPolicy verweist: Mit einer benutzerdefinierten Organisationsrichtlinie können Sie festlegen, dass Rollen nur einer bestimmten Gruppe von Hauptkonten zugewiesen werden dürfen.

In den meisten Fällen sollten Sie die verwaltete Einschränkung iam.managed.allowedPolicyMembers anstelle einer benutzerdefinierten Organisationsrichtlinie verwenden. Die folgenden Konfigurationsoptionen sind jedoch nur verfügbar, wenn Sie benutzerdefinierte Organisationsrichtlinien verwenden:
- Zulässige Hauptkonten basierend auf dem Mitgliedstyp konfigurieren
- Verhindern, dass bestimmten Hauptkonten Rollen zugewiesen werden
- Rollen dürfen speziellen Hauptkonten wie allUsers und allAuthenticatedUsers zugewiesen werden.
Wenn Sie die Einschränkung der Freigabe auf die Domain mit benutzerdefinierten Organisationsrichtlinien einrichten möchten, verwenden Sie die folgenden CEL-Funktionen, um zu definieren, wem eine Rolle in Ihrer Organisation zugewiesen werden kann:
Damit Rollen allen Hauptkonten in Ihrer Organisation zugewiesen werden können, geben Sie die Hauptkontogruppe Ihrer Organisation in der Funktion memberInPrincipalSet an und fügen Sie die Hauptkontogruppe der Organisation in die Einschränkung ein.

Weitere Informationen zum Erstellen benutzerdefinierter Organisationsrichtlinien mit diesen CEL-Funktionen finden Sie unter Benutzerdefinierte Organisationsrichtlinien zum Implementieren der domainbeschränkten Freigabe verwenden.
Die alte Einschränkung iam.allowedPolicyMemberDomains: Sie können diese alte Einschränkung erzwingen, damit Rollen nur Hauptkonten in Ihrer Organisation zugewiesen werden können. Sie können den Zugriff anhand Ihrer Organisationsressourcen-ID oder Ihrer Google Workspace-Kundennummer einschränken. Informationen zu den Unterschieden zwischen diesen Kennungen finden Sie auf dieser Seite unter Organisationsressourcen-ID im Vergleich zur Google Workspace-Kundennummer.

Mit dieser Einschränkung können Sie keine Ausnahmen für bestimmte Principals konfigurieren. Angenommen, Sie müssen einem Dienst-Agent in einer Organisation, in der die Einschränkung iam.allowedPolicyMemberDomains erzwungen wird, eine Rolle zuweisen. Dienst-Agents werden von Google erstellt und verwaltet. Sie sind daher nicht Teil Ihrer Organisation, Ihres Google Workspace-Kontos oder Ihrer Cloud Identity-Domain. Wenn Sie dem Dienst-Agent eine Rolle zuweisen möchten, müssen Sie die Einschränkung deaktivieren, die Rolle zuweisen und die Einschränkung dann wieder aktivieren.

Sie können die Organisationsrichtlinie auf Ordner- oder Projektebene überschreiben, um zu ändern, welchen Nutzern Rollen in welchen Ordnern oder Projekten zugewiesen werden dürfen. Weitere Informationen finden Sie unter Organisationsrichtlinie für ein Projekt überschreiben.

Informationen zum Festlegen dieser Einschränkung finden Sie unter Die Einschränkung iam.allowedPolicyMemberDomains verwenden, um das Teilen auf bestimmte Domains zu beschränken.

Hinweis: Wenn Ihre Organisation am oder nach dem 3. Mai 2024 erstellt wurde, wird die vordefinierte Einschränkung iam.allowedPolicyMemberDomains standardmäßig erzwungen. Ihre Domain ist dann der einzige zulässige Wert.

So funktioniert die domaineingeschränkte Freigabe

Wenn Sie eine Organisationsrichtlinie verwenden, um die Freigabe auf bestimmte Domains zu beschränken, können Hauptkonten außerhalb der von Ihnen angegebenen Domains und Einzelpersonen keine IAM-Rollen in Ihrer Organisation zugewiesen werden.

In den folgenden Abschnitten werden einige wichtige Details zur Funktionsweise von Einschränkungen für die Freigabe auf bestimmte Domains in Ihrer Organisation beschrieben.

Einschränkungen gelten nicht rückwirkend

Einschränkungen für Organisationsrichtlinien sind nicht rückwirkend. Sobald eine Domaineinschränkung festgelegt wurde, gilt diese für Änderungen der Zulassungsrichtlinien, die ab diesem Zeitpunkt vorgenommen werden, und nicht für vorherige Änderungen.

Angenommen, Sie haben zwei verknüpfte Organisationen: examplepetstore.com und altostrat.com. Sie haben einer examplepetstore.com-Identität eine IAM-Rolle in altostrat.com zugewiesen. Später haben Sie sich entschieden, Identitäten nach Domain einzuschränken, und eine Organisationsrichtlinie mit der Domaineinschränkung in altostrat.com implementiert. In diesem Fall verlieren die vorhandenen examplepetstore.com-Identitäten nicht den Zugriff in altostrat.com. Ab diesem Zeitpunkt können Sie IAM-Rollen nur Identitäten aus der Domain „altostrat.com“ zuweisen.

Einschränkungen gelten immer, wenn eine IAM-Richtlinie festgelegt wird

Domaineinschränkungen gelten für alle Aktionen, für die eine IAM-Richtlinie festgelegt ist. Das gilt auch für automatische Aktionen. Die Einschränkungen gelten beispielsweise für Änderungen, die ein Dienst-Agent als Reaktion auf eine andere Aktion vornimmt. Wenn Sie beispielsweise einen automatisierten Dienst haben, der BigQuery-Datasets importiert, nimmt ein BigQuery-Dienst-Agent Änderungen an der IAM-Richtlinie für das neu erstellte Dataset vor. Diese Aktion würde durch die Domaineinschränkung eingeschränkt und blockiert werden.

Einschränkungen umfassen Ihre Domain nicht automatisch

Die Domain Ihrer Organisation wird nicht automatisch in die Liste der zulässigen Werte einer Richtlinie aufgenommen, wenn Sie die Domaineinschränkung festlegen. Damit Principals in Ihrer Domain IAM-Rollen in Ihrer Organisation zugewiesen werden können, müssen Sie Ihre Domain explizit hinzufügen. Wenn Sie Ihre Domain nicht hinzufügen und die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) allen Nutzern in Ihrer Domain entzogen wird, ist die Organisationsrichtlinie nicht mehr zugänglich.

Google-Gruppen und domaineingeschränkte Freigabe

Wenn die Einschränkung der Domaineinschränkung in Ihrer Organisation erzwungen wird, können Sie neu erstellten Google-Gruppen möglicherweise keine Rollen zuweisen, auch wenn die Gruppen zu einer zulässigen Domain gehören. Das liegt daran, dass es bis zu 24 Stunden dauern kann, bis eine Gruppe vollständig in Google Cloudübertragen wurde. Wenn Sie einer neu erstellten Google-Gruppe keine Rolle zuweisen können, warten Sie 24 Stunden und versuchen Sie es dann noch einmal.

Außerdem wird bei der Bewertung, ob eine Gruppe zu einer zulässigen Domain gehört, nur die Domain der Gruppe berücksichtigt. Die Domains der Gruppenmitglieder werden nicht ausgewertet. Daher können Projektadministratoren die Einschränkung der Domain umgehen, indem sie externe Mitglieder zu Google-Gruppen hinzufügen und diesen Google-Gruppen dann Rollen zuweisen.

Damit Projektadministratoren die Einschränkung der Domäne nicht umgehen können, sollte der Google Workspace-Administrator dafür sorgen, dass Gruppeninhaber Mitgliedern von außerhalb der Domäne keinen Zugriff auf den Administratorbereich in Google Workspace gewähren können.

Organisationsressourcen-ID im Vergleich zur Google Workspace-Kundennummer

Wenn Sie die alte Einschränkung iam.allowedPolicyMemberDomains verwenden, um die domaineingeschränkte Freigabe zu implementieren, können Sie den Zugriff entweder anhand der Organisationsressourcen-ID oder der Google Workspace-Kundennummer einschränken.

Mit der Organisationsressourcen-ID können den folgenden Identitäten Rollen in Ihrer Organisation zugewiesen werden:

Alle Workforce Identity-Pools in Ihrer Organisation
Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind

Wenn Sie Ihre Google Workspace-Kundennummer verwenden, können den folgenden Identitäten Rollen in Ihrer Organisation zugewiesen werden:

Alle Identitäten in allen Domains, einschließlich Subdomains, die mit Ihrer Google Workspace-Kunden-ID verknüpft sind
Alle Workforce Identity-Pools in Ihrer Organisation
Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind.

Wenn Sie die gemeinsame Nutzung mit eingeschränkten Domains für bestimmte Subdomains implementieren möchten, müssen Sie für jede Subdomain ein separates Google Workspace-Konto erstellen. Weitere Informationen zum Verwalten mehrerer Google Workspace-Konten finden Sie unter Mehrere Organisationen verwalten.