本页面介绍了如何为 Google Cloud 控制台创建组织级访问权限政策, 为组织中的文件夹和项目设置组织和范围政策。
准备工作
- 确保您拥有正确的权限来使用 Access Context Manager。
创建组织级访问权限政策
对于组织而言,如果存在以下情况,您将无法创建组织级别的访问权限政策: 该组织存在组织级访问权限政策。
控制台
当您创建访问权限级别时,系统会自动创建默认访问权限政策。无需执行其他手动步骤。
gcloud
如需创建组织级访问权限政策,请使用 create
命令。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。
您应该会看到如下所示的输出(其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
接下来,设置默认政策。
API
如需创建组织级访问权限政策,请执行以下操作:
创建请求正文。
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。
通过调用
accessPolicies.create
创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,调用的响应正文将包含一个 Operation
资源,用于提供与 POST
操作相关的详细信息。
创建范围限定的访问权限政策并委托该政策
只有 VPC Service Controls 支持创建范围化访问权限政策。 您必须继续为 Google Cloud 服务(例如 Identity-Aware Proxy [IAP])使用组织级政策。
控制台
在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上,选择作为范围限定政策父级的访问权限政策。例如,您可以选择
default policy
组织政策。点击管理政策。
在管理 VPC Service Controls 页面上,点击创建。
在创建访问权限政策页面的访问权限政策名称框中,为范围限定的访问权限政策输入名称。
范围限定的访问政策名称的最大长度为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_
)。范围限定的访问权限政策名称区分大小写,并且在组织的访问权限政策中必须是唯一的。要为访问权限政策指定范围,请点击范围。
将项目或文件夹指定为访问权限政策的范围。
如需选择要添加到访问权限政策范围内的项目,请执行以下操作:
在范围窗格中,点击添加项目。
在添加项目对话框中,选中相应项目的复选框。
点击完成。添加的项目将显示在范围部分中。
如需选择要添加到访问权限政策范围内的文件夹,请执行以下操作:
在范围窗格中,点击添加文件夹。
在添加文件夹对话框中,选中相应文件夹的复选框。
点击完成。添加的文件夹将显示在范围部分中。
如需委派范围限定访问权限政策的管理,请点击主账号。
如需指定要绑定到访问权限政策的主账号和角色,请执行以下操作:
在主账号窗格中,点击添加主账号。
在添加主账号对话框中,选择主账号,例如用户名或服务账号。
选择要与主账号关联的角色,例如编辑者和读取角色。
点击保存。添加的主账号和角色会显示在主账号部分中。
在创建访问权限政策页面上,点击创建访问权限政策。
gcloud
如需创建范围限定的访问权限政策,请使用 gcloud access-context-manager policies create
命令。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。 政策标题最多可以包含 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_
)。政策标题区分大小写,并且在组织的访问权限政策中必须是唯一的。SCOPE 是此政策适用的文件夹或项目。您只能指定一个文件夹或项目作为范围,并且该范围必须存在于指定的组织中。如果您未指定范围,则政策将应用于整个组织。
系统会显示以下输出(其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
要通过将主账号和角色绑定到范围限定的访问权限政策来委派管理,请使用 add-iam-policy-binding
命令。
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
其中:
POLICY 是政策的 ID 或政策的完全限定标识符。
PRINCIPAL 是要添加绑定的主账号。请按以下格式指定:
user|group|serviceAccount:email
或domain:domain
。ROLE 是要分配给主账号的角色名称。角色名称是预定义角色的完整路径(例如
roles/accesscontextmanager.policyReader
),或自定义角色的角色 ID(例如organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader
)。
API
要创建范围限定的访问权限政策,请执行以下操作:
创建请求正文。
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
SCOPE 是此政策适用的文件夹或项目。
POLICY_TITLE 是直观易懂的政策标题。 政策标题最多可以包含 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_
)。政策标题区分大小写,并且在组织的访问权限政策中必须是唯一的。
通过调用
accessPolicies.create
创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,调用的响应正文将包含一个 Operation
资源,用于提供与 POST
操作相关的详细信息。
如需委派范围限定访问权限政策的管理,请执行以下操作:
创建请求正文。
{ "policy": "IAM_POLICY", }
其中:
- IAM_POLICY 是绑定的集合。绑定操作会将一个或多个成员或主账号绑定到单个角色。主账号可以是用户账号、服务账号、Google 群组和网域。角色是一组指定的权限;每个角色可以是 IAM 预定义角色或用户创建的自定义角色。
通过调用
accessPolicies.setIamPolicy
创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,则响应正文包含一个 policy
实例。