您可以透過「網域限定共用」功能,根據網域或機構資源限制資源共用。啟用網域限定共用後,只有屬於允許網域或機構的主體,才能在 Google Cloud 機構中獲派 IAM 角色。
限制網域共用的方法
您可以使用機構政策服務,透過下列幾種方式,根據網域或機構資源限制資源共用:
iam.managed.allowedPolicyMembers受管理限制:您可以強制執行這項受管理限制,只允許將角色授予您在限制中列出的主體和主體集。透過這項受管理限制,您可以列出要允許授予角色的主體和主體集。如要允許將角色授予貴機構中的所有主體,請在限制中加入機構的主體集。
如要瞭解如何設定這項限制,請參閱「使用
iam.managed.allowedPolicyMembers限制條件實作網域限制分享功能」。參照
iam.googleapis.com/AllowPolicy資源的自訂機構政策:您可以透過自訂機構政策,只允許將角色授予特定主體。在大多數情況下,您應使用
iam.managed.allowedPolicyMembers受管理限制,而非自訂機構政策。不過,只有在使用自訂機構政策時,才能使用下列設定選項:- 根據成員類型設定允許的主體
- 防止特定主體獲派角色
- 允許將角色授予
allUsers和allAuthenticatedUsers等特殊主體
如要透過自訂機構政策設定網域限制共用,請使用下列 CEL 函式定義機構中可獲派角色的使用者:
如要允許將角色授予貴機構中的所有主體,請在
memberInPrincipalSet函式中指定貴機構的主體集,並在限制中加入貴機構的主體集。如要進一步瞭解如何使用這些 CEL 函式建立自訂機構政策,請參閱「使用自訂機構政策實作網域限制共用功能」。
iam.allowedPolicyMemberDomains舊版受管理限制:您可以強制執行這項舊版受管理限制,只允許將角色授予貴機構中的主體。您可以根據機構資源 ID 或 Google Workspace 客戶 ID 限制存取權。如要瞭解這些 ID 的差異,請參閱本頁的「機構資源 ID 與 Google Workspace 客戶 ID 的比較」。這項限制不允許您為特定主體設定例外狀況。舉例來說,假設您需要在強制執行
iam.allowedPolicyMemberDomains限制的機構中,授予服務代理程式角色。服務代理是由 Google 建立及管理,因此不屬於您的機構、Google Workspace 帳戶或 Cloud Identity 網域。因此,如要將角色授予服務代理,您必須先停用限制,授予角色,然後重新啟用限制。您可以在資料夾或專案層級覆寫機構政策,變更允許在哪些資料夾或專案中授予角色的使用者。詳情請參閱「覆寫專案的組織政策」。
如要瞭解如何設定這項限制,請參閱「使用
iam.allowedPolicyMemberDomains限制條件實作網域限制分享功能」。
網域限定共用功能的運作方式
使用機構政策強制執行網域限制共用時,您指定的網域和個人以外的主體,都無法在機構中獲得 IAM 角色。
以下各節將說明貴機構的網域限制共用限制運作方式。
限制不會溯及既往
機構政策限制不會溯及既往。網域限制設定後,此限制會套用於之後的允許政策變更,先前的變更則不受影響。
舉例來說,假設有兩個相關機構:examplepetstore.com 和 altostrat.com。您已在 altostrat.com 中授予 examplepetstore.com 身分 IAM 角色。後來,您決定依網域限制身分,並在 altostrat.com 中實施包含網域限制的機構政策。在這種情況下,現有的 examplepetstore.com 身分不會失去 altostrat.com 的存取權。從那時起,您只能將 IAM 角色授予 altostrat.com 網域的身分。
設定 IAM 政策時,系統一律會套用限制
網域限制條件會套用至所有設定 IAM 政策的動作。包括自動動作。舉例來說,限制會套用至服務代理程式因應其他動作而進行的變更。舉例來說,如果您有匯入 BigQuery 資料集的自動化服務,BigQuery 服務代理程式會在新建的資料集上進行 IAM 政策變更。這項操作會受到網域限制條件限制,因此遭到封鎖。
限制不會自動包含您的網域
設定網域限制時,貴機構的網域不會自動加入政策的允許清單中。如要允許網域中的主體在貴機構中獲授 IAM 角色,您必須明確新增網域。如果您未新增網域,且網域中所有使用者的「組織政策管理員」角色 (roles/orgpolicy.policyAdmin) 遭移除,則無法存取組織政策。
Google 群組和網域限定共用
如果貴機構強制執行網域限制條件,您可能無法將角色授予新建立的 Google 群組,即使這些群組屬於允許的網域也一樣。這是因為群組最多可能需要 24 小時,才會全面套用到 Google Cloud。如果無法將角色授予新建立的 Google 群組,請等待 24 小時後再試一次。
此外,評估群組是否屬於允許的網域時,IAM 只會評估群組的網域。不會評估群組中任何成員的網域。因此,專案管理員可以將外部成員新增至 Google 群組,然後授予這些 Google 群組角色,藉此略過網域限制條件。
為確保專案管理員無法規避網域限制條件,Google Workspace 管理員應在 Google Workspace 管理員面板中,確保群組擁有者無法允許網域以外的成員。
機構資源 ID 與 Google Workspace 客戶 ID
如果您使用iam.allowedPolicyMemberDomains舊版受管理限制來實作網域限定共用,則可以根據機構資源 ID 或 Google Workspace 客戶 ID 限制存取權。
使用機構資源 ID,即可在機構中授予下列主體角色:
- 貴機構中的所有員工身分集區
- 機構中任何專案的所有服務帳戶和工作負載身分池
- 與貴機構資源相關聯的所有服務代理程式
使用 Google Workspace 客戶 ID,即可在貴機構中授予下列主體角色:
- 與 Google Workspace 客戶 ID 相關聯的所有網域 (包括子網域) 中的所有身分
- 貴機構中的所有員工身分集區
- 機構中任何專案的所有服務帳戶和工作負載身分池
- 與貴機構資源相關聯的所有服務代理程式。
如要為特定子網域實作網域限制共用功能,請為每個子網域建立個別的 Google Workspace 帳戶。如要進一步瞭解如何管理多個 Google Workspace 帳戶,請參閱「管理多個機構」。