借助网域限定共享,您可以根据网域或组织资源来限制资源共享。当网域限定共享处于有效状态时,只有属于允许的网域或组织的主账号才能在您的 Google Cloud 组织中被授予 IAM 角色。
按网域限制共享的方法
您可以通过多种方式使用组织政策服务来根据网域或组织资源限制资源共享:
iam.managed.allowedPolicyMembers受管理的限制:您可以强制执行此受管理的限制,以仅允许向您在限制中列出的主账号和主账号集授予角色。借助此受管理的限制,您可以列出要允许向其授予角色的主账号和主账号集。如需允许向组织中的所有主账号授予角色,请在限制中添加组织的委托人集。
如需了解如何设置此限制条件,请参阅使用
iam.managed.allowedPolicyMembers限制条件实现网域受限的共享。引用
iam.googleapis.com/AllowPolicy资源的自定义组织政策:您可以使用自定义组织政策来允许仅向特定的一组主账号授予角色。在大多数情况下,您应使用
iam.managed.allowedPolicyMembers受管限制,而不是使用自定义组织政策。不过,只有在使用自定义组织政策时,才能使用以下配置选项:- 根据成员类型配置允许的主账号
- 防止向特定主账号授予角色
- 允许向
allUsers和allAuthenticatedUsers等特殊主账号授予角色
如需通过自定义组织政策设置网域受限的共享,您可以使用以下 CEL 函数来定义组织中哪些人可以被授予角色:
如需允许向组织中的所有主账号授予角色,请在
memberInPrincipalSet函数中指定组织的委托人集,并在限制中包含组织的委托人集。如需详细了解如何使用这些 CEL 函数创建自定义组织政策,请参阅使用自定义组织政策实现网域受限的共享。
旧版受管理限制条件
iam.allowedPolicyMemberDomains:您可以强制执行此旧版受管理限制条件,以仅允许向组织中的主账号授予角色。您可以根据组织资源 ID 或 Google Workspace 客户 ID 限制访问权限。如需了解这些标识符之间的区别,请参阅本页上的组织资源 ID 与 Google Workspace 客户 ID。此限制不允许您为特定正文配置例外情况。例如,假设您需要在实施
iam.allowedPolicyMemberDomains限制条件的组织中向服务代理授予角色。服务代理由 Google 创建和管理,因此不属于您的组织、Google Workspace 账号或 Cloud Identity 网域。因此,如需向服务代理授予角色,您需要停用该限制,授予角色,然后重新启用该限制。您可以在文件夹或项目级层替换组织政策,以更改允许向哪些用户授予哪些文件夹或项目中的角色。如需了解详情,请参阅替换项目的组织政策。
如需了解如何设置此限制条件,请参阅使用
iam.allowedPolicyMemberDomains限制条件实现网域受限的共享。
网域限定共享的运作方式
如果您使用组织政策强制执行网域受限共享,则您指定的网域和个人之外的任何主账号都无法在您的组织中获得 IAM 角色。
以下部分概述了网域受限共享限制在组织中的运作方式的一些关键细节。
限制条件不具有追溯性
组织政策限制条件不具有追溯性。设置网域限制后,此限制将应用于在此之后对允许政策所做的更改,而不会应用于在此之前所做的任何更改。
例如,假设有两个相关组织:examplepetstore.com 和 altostrat.com。您已向 altostrat.com 中的 examplepetstore.com 身份授予了 IAM 角色。后来,您决定按网域限制身份,并在 altostrat.com 中实施了具有网域限制条件的组织政策。在这种情况下,现有 examplepetstore.com 身份不会失去在 altostrat.com 中的访问权限。从那时起,您只能向 altostrat.com 网域中的身份授予 IAM 角色。
只要设置了 IAM 政策,就会应用限制条件
网域限制条件适用于设置 IAM 政策的所有操作。这包括自动化操作。例如,限制条件适用于服务代理为响应其他操作而进行的更改。例如,如果您拥有用于导入 BigQuery 数据集的自动化服务,则 BigQuery 服务代理会对新创建的数据集进行 IAM 政策更改。此操作将受网域限制条件的限制并会被屏蔽。
限制条件不会自动包含您的网域
当您设置网域限制条件时,贵组织的网域不会自动添加到政策的允许列表中。如需允许向网域中的主账号授予组织中的 IAM 角色,您必须明确添加您的网域。如果您未添加网域,并且从网域中的所有用户处移除了组织政策管理员角色 (roles/orgpolicy.policyAdmin),则组织政策将无法使用。
Google 群组和网域限定共享
如果系统在您的组织中强制执行了网域限制条件,则您可能无法向新创建的 Google 群组授予角色,即使这些群组属于允许的网域也是如此。这是因为群组完全传播到 Google Cloud可能需要长达 24 小时。如果您无法向新创建的 Google 群组授予角色,请等待 24 小时,然后重试。
此外,在评估群组是否属于允许的网域时,IAM 仅评估群组的网域。它不会评估任何群组成员的网域。因此,项目管理员可以通过以下方式绕过网域限制条件:将外部成员添加到 Google 群组,然后向这些 Google 群组授予角色。
为确保项目管理员无法绕过网域限制条件,Google Workspace 管理员在 Google Workspace 管理员面板中应确保该群组所有者不能允许网域以外的成员。
组织资源 ID 与 Google Workspace 客户 ID
如果您使用旧版受限管理限制条件 iam.allowedPolicyMemberDomains 来实现网域限定共享,则可以根据组织资源 ID 或 Google Workspace 客户 ID 来限制访问权限。
使用组织资源 ID 可向以下主账号授予组织中的角色:
- 贵组织中的所有员工身份池
- 组织中任何项目中的所有服务账号和工作负载身份池
- 与贵组织中的资源相关联的所有服务代理
使用您的 Google Workspace 客户 ID 可向贵组织中的以下正文授予角色:
- 与您的 Google Workspace 客户 ID 相关联的所有网域(包括子网域)中的所有身份
- 贵组织中的所有员工身份池
- 组织中任何项目中的所有服务账号和工作负载身份池
- 与贵组织中的资源相关联的所有服务代理。
如果您想为特定子网域实现网域限制共享,则需要为每个子网域分别创建一个单独的 Google Workspace 账号。如需详细了解如何管理多个 Google Workspace 账号,请参阅管理多个组织。