Esta página foi traduzida pela API Cloud Translation.

Compartilhamento restrito de domínio

Com o compartilhamento restrito de domínio, é possível limitar o compartilhamento de recursos com base em um domínio ou recurso da organização. Quando o compartilhamento restrito de domínio está ativo, somente os principais que pertencem a domínios ou organizações permitidos podem receber papéis do IAM na sua organização Google Cloud .

Métodos para restringir o compartilhamento por domínio

Há várias maneiras de usar o serviço de política da organização para limitar o compartilhamento de recursos com base no domínio ou no recurso da organização:

A restrição gerenciada iam.managed.allowedPolicyMembers: é possível aplicar essa restrição gerenciada para permitir que papéis sejam concedidos apenas aos principais e conjuntos de principais listados na restrição.

Com essa restrição gerenciada, você lista os principais e os conjuntos de principais a que quer permitir que os papéis sejam concedidos. Para permitir que papéis sejam concedidos a todos os principais na sua organização, inclua o conjunto de principais da organização na restrição.

Para saber como definir essa restrição, consulte Usar a restrição iam.managed.allowedPolicyMembers para implementar o compartilhamento restrito ao domínio.
Uma política personalizada da organização que faz referência ao recurso iam.googleapis.com/AllowPolicy: é possível usar uma política personalizada da organização para permitir que as funções sejam concedidas apenas a um conjunto específico de principais.

Na maioria dos casos, use a restrição gerenciada iam.managed.allowedPolicyMembers em vez de uma política personalizada da organização. No entanto, as opções de configuração a seguir só estão disponíveis se você usar políticas da organização personalizadas:
- Configurar principais permitidos com base no tipo de membro
- Impedir que principais específicos recebam papéis
- Permitir que papéis sejam concedidos a principais especiais, como allUsers e allAuthenticatedUsers
Para configurar o compartilhamento restrito por domínio com políticas personalizadas da organização, use as seguintes funções CEL para definir quem pode receber um papel na sua organização:
Para permitir que papéis sejam concedidos a todos os principais da sua organização, especifique o conjunto de principais da organização na função memberInPrincipalSet e inclua o conjunto de principais da organização na restrição.

Para saber mais sobre como criar políticas personalizadas da organização usando essas funções da CEL, consulte Usar políticas personalizadas da organização para implementar o compartilhamento restrito por domínio.
A restrição gerenciada legada iam.allowedPolicyMemberDomains: é possível aplicar essa restrição gerenciada legada para permitir que papéis sejam concedidos apenas a principais na sua organização. É possível limitar o acesso com base no ID do recurso da organização ou no ID do cliente do Google Workspace. Para ver as diferenças entre esses identificadores, consulte ID do recurso da organização x ID do cliente do Google Workspace nesta página.

Essa restrição não permite configurar exceções para principais específicos. Por exemplo, imagine que você precise conceder um papel a um agente de serviço em uma organização que impõe a restrição iam.allowedPolicyMemberDomains. Os agentes de serviço são criados e gerenciados pelo Google. Portanto, eles não fazem parte da sua organização, da sua conta do Google Workspace ou do seu domínio do Cloud Identity. Como resultado, para conceder um papel ao agente de serviço, é necessário desativar a restrição, conceder o papel e reativar a restrição.

É possível substituir a política da organização no nível da pasta ou do projeto para mudar quais usuários podem receber papéis em quais pastas ou projetos. Para mais informações, consulte Substituir a política da organização para um projeto.

Para saber como definir essa restrição, consulte Usar a restrição iam.allowedPolicyMemberDomains para implementar o compartilhamento restrito ao domínio.

Observação: se a organização foi criada em 3 de maio de 2024 ou depois dessa data, a restrição predefinida iam.allowedPolicyMemberDomains será aplicada por padrão, com o domínio listado como o único valor permitido.

Como funciona o compartilhamento restrito de domínio

Quando você usa uma política da organização para aplicar o compartilhamento restrito ao domínio, nenhum principal fora dos domínios e indivíduos especificados pode receber papéis do IAM na sua organização.

As seções a seguir descrevem alguns detalhes importantes sobre como as restrições de compartilhamento restringidas ao domínio funcionam na sua organização.

As restrições não são retroativas

As restrições da política da organização não são retroativas. Depois que uma restrição de domínio é definida, a limitação se aplica às mudanças na política de permissão feitas a partir desse momento e não a mudanças anteriores.

Por exemplo, considere duas organizações relacionadas: examplepetstore.com e altostrat.com. Você concedeu a uma identidade examplepetstore.com um papel do IAM em altostrat.com. Depois, você decidiu restringir identidades por domínio e implementou uma política da organização com a restrição de domínio em altostrat.com. Nesse caso, as identidades examplepetstore.com atuais não perderiam o acesso em altostrat.com. A partir desse momento, você só poderia conceder papéis do IAM a identidades do domínio altostrat.com.

As restrições são aplicadas sempre que uma política do IAM é definida.

As restrições de domínio se aplicam a todas as ações em que uma política do IAM é definida. Isso inclui ações automatizadas. Por exemplo, as restrições se aplicam a mudanças feitas por um agente de serviços em resposta a outra ação. Por exemplo, se você tiver um serviço automatizado que importe conjuntos de dados do BigQuery, um agente de serviço do BigQuery fará mudanças na política do IAM no conjunto de dados recém-criado. Essa ação será restrita à restrição de domínio e bloqueada.

As restrições não incluem seu domínio automaticamente

O domínio da sua organização não é adicionado automaticamente à lista de permissões de uma política quando você define a restrição de domínio. Para permitir que os principais no seu domínio recebam papéis do IAM na sua organização, adicione o domínio de maneira explícita. Se você não adicionar seu domínio e o papel de administrador da política da organização (roles/orgpolicy.policyAdmin) for removido de todos os usuários no seu domínio, a política da organização ficará inacessível.

Grupos do Google e compartilhamento restrito de domínio

Se a restrição de domínio for aplicada na sua organização, talvez não seja possível conceder papéis a grupos do Google recém-criados, mesmo que eles pertençam a um domínio permitido. Isso acontece porque pode levar até 24 horas para que um grupo seja totalmente propagado no Google Cloud. Se não for possível conceder uma função a um grupo do Google recém-criado, aguarde 24 horas e tente de novo.

Além disso, ao avaliar se um grupo pertence a um domínio permitido, o IAM considera apenas o domínio do grupo. Ele não avalia os domínios de nenhum dos participantes do grupo. Como resultado, os administradores do projeto podem ignorar a restrição de domínio adicionando membros externos aos Grupos do Google e concedendo papéis a esses grupos.

Para garantir que os administradores do projeto não possam ignorar a restrição de domínio, o administrador do Google Workspace precisa garantir que os proprietários do grupo não possam permitir participantes de fora do domínio no painel do administrador do Google Workspace.

ID do recurso Organização x ID de cliente do Google Workspace

Se você usar a restrição gerenciada legada iam.allowedPolicyMemberDomains para implementar o compartilhamento restrito de domínio, poderá limitar o acesso com base no ID do recurso da organização ou no ID do cliente do Google Workspace.

Usar o ID do recurso da organização permite que os seguintes principais recebam papéis na sua organização:

Todos os pools de identidades de força de trabalho na sua organização
Todas as contas de serviço e pools de identidades de carga de trabalho em qualquer projeto da organização
Todos os agentes de serviço associados a recursos na sua organização

Usar seu ID de cliente do Google Workspace permite que os seguintes principais recebam papéis na sua organização:

Todas as identidades em todos os domínios, incluindo subdomínios, associadas ao seu ID de cliente do Google Workspace
Todos os pools de identidades de força de trabalho na sua organização
Todas as contas de serviço e pools de identidades de carga de trabalho em qualquer projeto da organização
Todos os agentes de serviço associados a recursos na sua organização.

Se quiser implementar o compartilhamento restrito por domínio para subdomínios específicos, crie uma conta separada do Google Workspace para cada um deles. Para mais informações sobre como gerenciar várias contas do Google Workspace, consulte Gerenciar várias organizações.