Cette page a été traduite par l'API Cloud Translation.

Partage restreint au domaine

Le partage restreint de domaine vous permet de limiter le partage des ressources en fonction d'un domaine ou d'une ressource d'organisation. Lorsque le partage restreint au domaine est actif, seuls les comptes principaux appartenant aux domaines ou organisations autorisés peuvent se voir attribuer des rôles IAM dans votre organisation Google Cloud .

Méthodes pour restreindre le partage par domaine

Il existe plusieurs façons d'utiliser le service de règles d'administration pour limiter le partage de ressources en fonction des ressources du domaine ou de l'organisation :

Contrainte gérée iam.managed.allowedPolicyMembers : vous pouvez appliquer cette contrainte gérée pour autoriser l'attribution de rôles uniquement aux comptes principaux et aux ensembles de comptes principaux que vous listez dans la contrainte.

Avec cette contrainte gérée, vous listez les comptes principaux et les ensembles de comptes principaux auxquels vous souhaitez autoriser l'attribution de rôles. Pour autoriser l'attribution de rôles à tous les comptes principaux de votre organisation, incluez l'ensemble de comptes principaux de l'organisation dans la contrainte.

Pour savoir comment définir cette contrainte, consultez Utiliser la contrainte iam.managed.allowedPolicyMembers pour implémenter le partage restreint à un domaine.
Règle d'administration personnalisée faisant référence à la ressource iam.googleapis.com/AllowPolicy : vous pouvez utiliser une règle d'administration personnalisée pour autoriser l'attribution de rôles à un ensemble spécifique de comptes principaux uniquement.

Dans la plupart des cas, vous devez utiliser la contrainte gérée iam.managed.allowedPolicyMembers au lieu d'une règle d'administration de l'organisation personnalisée. Toutefois, les options de configuration suivantes ne sont disponibles que si vous utilisez des règles d'administration personnalisées :
- Configurer les comptes principaux autorisés en fonction du type de membre
- Empêcher l'attribution de rôles à des comptes principaux spécifiques
- Autorisation d'attribuer des rôles à des comptes principaux spéciaux tels que allUsers et allAuthenticatedUsers
Pour configurer le partage restreint à un domaine avec des règles d'administration personnalisées, utilisez les fonctions CEL suivantes pour définir qui peut se voir attribuer un rôle dans votre organisation :
Pour autoriser l'attribution de rôles à tous les comptes principaux de votre organisation, spécifiez l'ensemble de comptes principaux de votre organisation dans la fonction memberInPrincipalSet et incluez-le dans la contrainte.

Pour savoir comment créer des règles d'administration personnalisées à l'aide de ces fonctions CEL, consultez Utiliser des règles d'administration personnalisées pour implémenter le partage restreint au domaine.
L'ancienne contrainte gérée iam.allowedPolicyMemberDomains : vous pouvez appliquer cette ancienne contrainte gérée pour n'autoriser l'attribution de rôles qu'aux comptes principaux de votre organisation. Vous pouvez limiter l'accès en fonction de l'ID de ressource de votre organisation ou de votre numéro client Google Workspace. Pour connaître les différences entre ces identifiants, consultez ID de ressource de l'organisation et numéro client Google Workspace sur cette page.

Cette contrainte ne vous permet pas de configurer des exceptions pour des principaux spécifiques. Par exemple, imaginons que vous deviez attribuer un rôle à un agent de service dans une organisation qui applique la contrainte iam.allowedPolicyMemberDomains. Les agents de service sont créés et gérés par Google. Ils ne font donc pas partie de votre organisation, de votre compte Google Workspace ni de votre domaine Cloud Identity. Par conséquent, pour attribuer un rôle à l'agent de service, vous devez désactiver la contrainte, attribuer le rôle, puis réactiver la contrainte.

Vous pouvez remplacer la règle d'administration au niveau du dossier ou du projet pour modifier les utilisateurs auxquels des rôles peuvent être attribués dans les dossiers ou projets. Pour en savoir plus, consultez Remplacer la règle d'administration pour un projet.

Pour savoir comment définir cette contrainte, consultez Utiliser la contrainte iam.allowedPolicyMemberDomains pour implémenter le partage restreint à un domaine.

Remarque : Si votre organisation a été créée le 3 mai 2024 ou après, la contrainte prédéfinie iam.allowedPolicyMemberDomains est appliquée par défaut, et votre domaine est indiqué comme seule valeur autorisée.

Fonctionnement du partage restreint au domaine

Lorsque vous utilisez une règle d'administration pour appliquer le partage restreint au domaine, aucun compte principal en dehors des domaines et des personnes que vous spécifiez ne peut se voir attribuer de rôles IAM dans votre organisation.

Les sections suivantes décrivent certains points clés concernant le fonctionnement des contraintes de partage restreint au domaine dans votre organisation.

Les contraintes ne sont pas rétroactives

Les contraintes liées aux règles d'administration ne sont pas rétroactives. Une fois qu'une restriction de domaine est définie, la limitation s'applique aux modifications de stratégie d'autorisation effectuées à partir de ce moment-là, et non à celles apportées antérieurement.

Prenons l'exemple de deux organisations associées : examplepetstore.com et altostrat.com. Vous avez attribué un rôle IAM à une identité examplepetstore.com dans altostrat.com. Par la suite, vous avez décidé de restreindre les identités par domaine et avez mis en œuvre une règle d'administration avec la contrainte de restriction de domaine dans altostrat.com. Dans ce cas, les identités examplepetstore.com existantes ne perdraient pas l'accès à altostrat.com. À partir de ce moment, vous ne pourriez accorder des rôles IAM qu'aux identités du domaine altostrat.com.

Des contraintes s'appliquent chaque fois qu'une stratégie IAM est définie.

Les contraintes de restriction de domaine s'appliquent à toutes les actions pour lesquelles une règle IAM est définie. Cela inclut les actions automatiques. Par exemple, les contraintes s'appliquent aux modifications apportées par un agent de service en réponse à une autre action. Par exemple, vous disposez d'un service automatisé qui importe des ensembles de données BigQuery et un agent de service BigQuery modifie les stratégies IAM sur un nouvel ensemble de données. Cette action sera limitée par la contrainte de restriction de domaine et bloquée.

Les contraintes n'incluent pas automatiquement votre domaine

Le domaine de votre organisation n'est pas automatiquement ajouté à la liste des autorisations d'une règle lorsque vous définissez la contrainte de restriction de domaine. Pour que les comptes principaux de votre domaine puissent se voir attribuer des rôles IAM dans votre organisation, vous devez ajouter explicitement votre domaine. Si vous n'ajoutez pas votre domaine et que le rôle d'administrateur des règles d'administration (roles/orgpolicy.policyAdmin) est supprimé pour tous les utilisateurs de votre domaine, la règle d'administration devient inaccessible.

Groupes Google et partage restreint de domaine

Si la contrainte de restriction de domaine est appliquée dans votre organisation, vous ne pourrez peut-être pas attribuer de rôles aux groupes Google nouvellement créés, même s'ils appartiennent à un domaine autorisé. En effet, la propagation complète d'un groupe dans Google Cloudpeut prendre jusqu'à 24 heures. Si vous ne parvenez pas à attribuer un rôle à un groupe Google nouvellement créé, patientez 24 heures, puis réessayez.

De plus, lorsque Cloud IAM évalue si un groupe appartient à un domaine autorisé, il n'évalue que le domaine du groupe. Il n'évalue pas les domaines des membres du groupe. Par conséquent, les administrateurs de projet peuvent contourner la contrainte de restriction de domaine en ajoutant des membres externes à des groupes Google, puis en attribuant des rôles à ces groupes Google.

Pour s'assurer que les administrateurs du projet ne peuvent pas contourner la contrainte de restriction de domaine, l'administrateur Google Workspace doit s'assurer que les propriétaires de groupe ne peuvent pas autoriser les membres n'appartenant pas au domaine dans le panneau d'administration Google Workspace.

ID de ressource de l'organisation et numéro client Google Workspace

Si vous utilisez l'ancienne contrainte gérée iam.allowedPolicyMemberDomains pour implémenter le partage restreint de domaine, vous pouvez limiter l'accès en fonction de l'ID de ressource de votre organisation ou de votre numéro client Google Workspace.

L'utilisation de l'ID de ressource de votre organisation permet d'attribuer des rôles dans votre organisation aux principaux suivants :

Tous les pools d'identités de personnel de votre organisation
Tous les comptes de service et pools d'identités de charge de travail de n'importe quel projet de l'organisation
Tous les agents de service associés aux ressources de votre organisation

L'utilisation de votre numéro client Google Workspace permet d'attribuer des rôles aux principaux suivants dans votre organisation :

Toutes les identités de tous les domaines, y compris les sous-domaines, associés à votre numéro client Google Workspace
Tous les pools d'identités de personnel de votre organisation
Tous les comptes de service et pools d'identités de charge de travail de n'importe quel projet de l'organisation
Tous les agents de service associés aux ressources de votre organisation.

Si vous souhaitez implémenter le partage restreint à un domaine pour des sous-domaines spécifiques, vous devez créer un compte Google Workspace distinct pour chaque sous-domaine. Pour en savoir plus sur la gestion de plusieurs comptes Google Workspace, consultez Gérer plusieurs organisations.