Questa pagina è stata tradotta dall'API Cloud Translation.

Condivisione limitata per i domini

La condivisione limitata per i domini consente di limitare la condivisione delle risorse in base a un dominio o a una risorsa dell'organizzazione. Quando la condivisione limitata per i domini è attiva, solo alle entità che appartengono a domini o organizzazioni consentiti possono essere concessi ruoli IAM nella tua organizzazione Google Cloud .

Metodi per limitare la condivisione per dominio

Esistono diversi modi per utilizzare il servizio Criteri dell'organizzazione per limitare la condivisione delle risorse in base al dominio o alle risorse dell'organizzazione:

Il vincolo gestito iam.managed.allowedPolicyMembers: puoi applicare questo vincolo gestito per consentire la concessione di ruoli solo alle entità e ai set di entità che elenchi nel vincolo.

Con questo vincolo gestito, elenchi le entità e i set di entità a cui vuoi consentire la concessione di ruoli. Per consentire la concessione di ruoli a tutte le entità della tua organizzazione, includi il set di entità dell'organizzazione nel vincolo.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.managed.allowedPolicyMembers per implementare la condivisione con limitazioni del dominio.
Un criterio dell'organizzazione personalizzato che fa riferimento alla risorsa iam.googleapis.com/AllowPolicy: puoi utilizzare un criterio dell'organizzazione personalizzato per consentire l'assegnazione dei ruoli solo a un insieme specifico di entità.

Nella maggior parte dei casi, devi utilizzare il vincolo gestito iam.managed.allowedPolicyMembers anziché una policy dell'organizzazione personalizzata. Tuttavia, le seguenti opzioni di configurazione sono disponibili solo se utilizzi criteri dell'organizzazione personalizzati:
- Configurazione delle entità consentite in base al tipo di membro
- Impedire l'assegnazione di ruoli a entità specifiche
- Consentire la concessione di ruoli a entità speciali come allUsers e allAuthenticatedUsers
Per configurare la condivisione con limitazioni del dominio con criteri dell'organizzazione personalizzati, utilizza le seguenti funzioni CEL per definire a chi può essere concesso un ruolo nella tua organizzazione:
Per consentire la concessione di ruoli a tutte le entità della tua organizzazione, specifica il set di entità dell'organizzazione nella funzione memberInPrincipalSet includi il set di entità dell'organizzazione nel vincolo.

Per scoprire di più su come creare criteri dell'organizzazione personalizzati utilizzando queste funzioni CEL, consulta Utilizzare criteri dell'organizzazione personalizzati per implementare la condivisione con limitazioni del dominio.
Il iam.allowedPolicyMemberDomains vincolo gestito legacy: puoi applicare questo vincolo gestito legacy per consentire la concessione dei ruoli solo alle entità della tua organizzazione. Puoi limitare l'accesso in base all'ID risorsa organizzazione o all'ID cliente Google Workspace. Per vedere le differenze tra questi identificatori, consulta ID risorsa organizzazione e ID cliente Google Workspace in questa pagina.

Questo vincolo non consente di configurare eccezioni per principal specifici. Ad esempio, supponiamo che tu debba concedere un ruolo a un agente di servizio in un'organizzazione che applica il vincolo iam.allowedPolicyMemberDomains. Gli agenti di servizio vengono creati e gestiti da Google, pertanto non fanno parte della tua organizzazione, del tuo account Google Workspace o del tuo dominio Cloud Identity. Di conseguenza, per concedere un ruolo all'agente di servizio, devi disattivare il vincolo, concedere il ruolo e poi riattivare il vincolo.

Puoi ignorare il criterio dell'organizzazione a livello di cartella o progetto per modificare gli utenti a cui è consentito concedere ruoli in quali cartelle o progetti. Per maggiori informazioni, consulta Ignorare i criteri dell'organizzazione per un progetto.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.allowedPolicyMemberDomains per implementare la condivisione con limitazioni del dominio.

Nota: se la tua organizzazione è stata creata a partire dal 3 maggio 2024, il vincolo predefinito iam.allowedPolicyMemberDomains viene applicato per impostazione predefinita, con il tuo dominio elencato come unico valore consentito.

Come funziona la condivisione limitata per i domini

Quando utilizzi un criterio dell'organizzazione per applicare la condivisione con limitazioni del dominio, a nessun principal al di fuori dei domini e delle persone che specifichi possono essere concessi ruoli IAM nella tua organizzazione.

Le sezioni seguenti descrivono alcuni dettagli chiave su come funzionano i vincoli di condivisione con limitazioni del dominio nella tua organizzazione.

I vincoli non sono retroattivi

I vincoli dei criteri dell'organizzazione non sono retroattivi. Una volta impostata una restrizione del dominio, la limitazione si applica alle modifiche ai criteri consentite apportate da quel momento in poi e non a quelle precedenti.

Ad esempio, considera due organizzazioni correlate: examplepetstore.com e altostrat.com. Hai concesso a un'identità examplepetstore.com un ruolo IAM in altostrat.com. In un secondo momento, hai deciso di limitare le identità per dominio e hai implementato un criterio dell'organizzazione con il vincolo di limitazione del dominio in altostrat.com. In questo caso, le identità examplepetstore.com esistenti non perderebbero l'accesso in altostrat.com. Da quel momento, potresti concedere ruoli IAM solo alle identità del dominio altostrat.com.

I vincoli vengono applicati ogni volta che viene impostata una policy IAM

I vincoli di limitazione del dominio si applicano a tutte le azioni in cui è impostata una policy IAM. Sono incluse le azioni automatiche. Ad esempio, i vincoli si applicano alle modifiche apportate da un agente di servizio in risposta a un'altra azione. Ad esempio, se hai un servizio automatizzato che importa set di dati BigQuery, un service agent BigQuery apporterà modifiche alle norme IAM sul set di dati appena creato. Questa azione sarebbe limitata dal vincolo di limitazione del dominio e bloccata.

I vincoli non includono automaticamente il tuo dominio

Il dominio della tua organizzazione non viene aggiunto automaticamente all'elenco consentito di un criterio quando imposti il vincolo di limitazione del dominio. Per consentire alle entità del tuo dominio di ottenere ruoli IAM nella tua organizzazione, devi aggiungere il tuo dominio in modo esplicito. Se non aggiungi il tuo dominio e il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) viene rimosso da tutti gli utenti del tuo dominio, i criteri dell'organizzazione diventano inaccessibili.

Google Gruppi e condivisione limitata per i domini

Se il vincolo di limitazione del dominio viene applicato nella tua organizzazione, potresti non essere in grado di concedere ruoli ai gruppi Google appena creati, anche se i gruppi appartengono a un dominio consentito. Questo perché la propagazione completa di un gruppo può richiedere fino a 24 ore. Google CloudSe non riesci ad assegnare un ruolo a un gruppo Google appena creato, attendi 24 ore e poi riprova.

Inoltre, quando valuta se un gruppo appartiene a un dominio consentito, IAM valuta solo il dominio del gruppo. Non valuta i domini di nessuno dei membri del gruppo. Di conseguenza, gli amministratori del progetto possono ignorare il vincolo di limitazione del dominio aggiungendo membri esterni ai gruppi Google e poi concedendo ruoli a questi gruppi Google.

Per garantire che gli amministratori del progetto non possano aggirare il vincolo di restrizione del dominio, l'amministratore di Google Workspace deve assicurarsi che i proprietari dei gruppi non possano consentire ai membri esterni al dominio nel pannello di amministrazione di Google Workspace.

ID risorsa Organizzazione e ID cliente Google Workspace

Se utilizzi il vincolo gestito legacy iam.allowedPolicyMemberDomains per implementare la condivisione con limitazioni del dominio, puoi limitare l'accesso in base all'ID risorsa organizzazione o all'ID cliente Google Workspace.

L'utilizzo dell'ID risorsa dell'organizzazione consente di concedere ruoli nella tua organizzazione alle seguenti entità:

Tutti i pool di identità della forza lavoro nella tua organizzazione
Tutti i service account e i pool di identità del workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione

L'utilizzo dell'ID cliente Google Workspace consente di concedere ruoli nella tua organizzazione ai seguenti soggetti:

Tutte le identità in tutti i domini, inclusi i sottodomini, associati al tuo ID cliente Google Workspace
Tutti i pool di identità della forza lavoro nella tua organizzazione
Tutti i service account e i pool di identità del workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione.

Se vuoi implementare la condivisione con limitazioni del dominio per sottodomini specifici, devi creare un account Google Workspace separato per ogni sottodominio. Per maggiori informazioni sulla gestione di più account Google Workspace, vedi Gestione di più organizzazioni.