创建访问权限政策

本页面介绍了如何为 Google Cloud 控制台创建组织级访问权限政策, 为组织中的文件夹和项目设置组织和范围政策。

准备工作

创建组织级访问权限政策

对于组织而言,如果存在以下情况,您将无法创建组织级别的访问权限政策: 该组织存在组织级访问权限政策。

控制台

当您创建访问权限级别时,系统会自动创建默认访问权限政策。无需执行其他手动步骤。

gcloud

如需创建组织级访问权限政策,请使用 create 命令。

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

其中:

  • ORGANIZATION_ID 是您的组织的数字 ID。

  • POLICY_TITLE 是直观易懂的政策标题。

您应该会看到如下所示的输出(其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

接下来,设置默认政策

API

如需创建组织级访问权限政策,请执行以下操作:

  1. 创建请求正文。

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }

    其中:

    • ORGANIZATION_ID 是您的组织的数字 ID。

    • POLICY_TITLE 是直观易懂的政策标题。

  2. 通过调用 accessPolicies.create 创建访问政策。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

响应正文

如果成功,调用的响应正文将包含一个 Operation 资源,用于提供与 POST 操作相关的详细信息。

创建范围限定的访问权限政策并委托该政策

只有 VPC Service Controls 支持创建范围化访问权限政策。 您必须继续为 Google Cloud 服务(例如 Identity-Aware Proxy [IAP])使用组织级政策。

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls

    转到 VPC Service Controls

  2. 如果出现提示,请选择您的组织、文件夹或项目。

  3. VPC Service Controls 页面上,选择作为范围限定政策父级的访问权限政策。例如,您可以选择 default policy 组织政策。

  4. 点击管理政策

  5. 管理 VPC Service Controls 页面上,点击创建

  6. 创建访问权限政策页面的访问权限政策名称框中,为范围限定的访问权限政策输入名称。

    范围限定的访问政策名称的最大长度为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (_)。范围限定的访问权限政策名称区分大小写,并且在组织的访问权限政策中必须是唯一的。

  7. 要为访问权限政策指定范围,请点击范围

  8. 将项目或文件夹指定为访问权限政策的范围。

    • 如需选择要添加到访问权限政策范围内的项目,请执行以下操作:

      1. 范围窗格中,点击添加项目

      2. 添加项目对话框中,选中相应项目的复选框。

      3. 点击完成。添加的项目将显示在范围部分中。

    • 如需选择要添加到访问权限政策范围内的文件夹,请执行以下操作:

      1. 范围窗格中,点击添加文件夹

      2. 添加文件夹对话框中,选中相应文件夹的复选框。

      3. 点击完成。添加的文件夹将显示在范围部分中。

  9. 如需委派范围限定访问权限政策的管理,请点击主账号

  10. 如需指定要绑定到访问权限政策的主账号和角色,请执行以下操作:

    1. 主账号窗格中,点击添加主账号

    2. 添加主账号对话框中,选择主账号,例如用户名或服务账号。

    3. 选择要与主账号关联的角色,例如编辑者和读取角色。

    4. 点击保存。添加的主账号和角色会显示在主账号部分中。

  11. 创建访问权限政策页面上,点击创建访问权限政策

gcloud

如需创建范围限定的访问权限政策,请使用 gcloud access-context-manager policies create 命令。

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

其中:

  • ORGANIZATION_ID 是您的组织的数字 ID。

  • POLICY_TITLE 是直观易懂的政策标题。 政策标题最多可以包含 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (_)。政策标题区分大小写,并且在组织的访问权限政策中必须是唯一的。

  • SCOPE 是此政策适用的文件夹或项目。您只能指定一个文件夹或项目作为范围,并且该范围必须存在于指定的组织中。如果您未指定范围,则政策将应用于整个组织。

系统会显示以下输出(其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

要通过将主账号和角色绑定到范围限定的访问权限政策来委派管理,请使用 add-iam-policy-binding 命令。

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

其中:

  • POLICY 是政策的 ID 或政策的完全限定标识符。

  • PRINCIPAL 是要添加绑定的主账号。请按以下格式指定:user|group|serviceAccount:emaildomain:domain

  • ROLE 是要分配给主账号的角色名称。角色名称是预定义角色的完整路径(例如 roles/accesscontextmanager.policyReader),或自定义角色的角色 ID(例如 organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader)。

API

要创建范围限定的访问权限政策,请执行以下操作:

  1. 创建请求正文。

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    其中:

    • ORGANIZATION_ID 是您的组织的数字 ID。

    • SCOPE 是此政策适用的文件夹或项目。

    • POLICY_TITLE 是直观易懂的政策标题。 政策标题最多可以包含 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (_)。政策标题区分大小写,并且在组织的访问权限政策中必须是唯一的。

  2. 通过调用 accessPolicies.create 创建访问政策。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

响应正文

如果成功,调用的响应正文将包含一个 Operation 资源,用于提供与 POST 操作相关的详细信息。

如需委派范围限定访问权限政策的管理,请执行以下操作:

  1. 创建请求正文。

    {
     "policy": "IAM_POLICY",
    }

    其中:

    • IAM_POLICY 是绑定的集合。绑定操作会将一个或多个成员或主账号绑定到单个角色。主账号可以是用户账号、服务账号、Google 群组和网域。角色是一组指定的权限;每个角色可以是 IAM 预定义角色或用户创建的自定义角色。
  2. 通过调用 accessPolicies.setIamPolicy 创建访问政策。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

响应正文

如果成功,则响应正文包含一个 policy 实例。

后续步骤