Zugriffsrichtlinie erstellen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird beschrieben, wie Sie eine Zugriffsrichtlinie auf Organisationsebene für Ihre Organisation und umfassende Richtlinien für die Ordner und Projekte in Ihrer Organisation erstellen.

Hinweis

Zugriffsrichtlinie auf Organisationsebene erstellen

Für eine Organisation können Sie keine Zugriffsrichtlinie auf Organisationsebene erstellen, wenn für diese Organisation eine Zugriffsrichtlinie auf Organisationsebene vorhanden ist.

Console

Wenn Sie eine Zugriffsebene oder einen Dienstperimeter für VPC Service Controls erstellen, wird automatisch eine Standardzugriffsrichtlinie erstellt. Es sind keine zusätzlichen manuellen Schritte erforderlich.

gcloud

Verwenden Sie zum Erstellen einer Zugriffsrichtlinie auf Organisationsebene den Befehl create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Dabei gilt:

  • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

  • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie

Die Ausgabe sollte in etwa so aussehen (POLICY_NAME ist eine eindeutige numerische Kennzeichnung für die Richtlinie, die von der GCP zugewiesen wird):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Legen Sie als Nächstes eine Standardrichtlinie fest.

API

So erstellen Sie eine Zugriffsrichtlinie auf Organisationsebene:

  1. Erstellen Sie einen Anfragetext.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }
    

    Dabei gilt:

    • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

    • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie

  2. Erstellen Sie die Zugriffsrichtlinie, indem Sie accessPolicies.create aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Zugriffsrichtlinie erstellen und delegieren

Console

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zu „VPC Service Controls“

  2. Wenn Sie dazu aufgefordert werden, wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Wählen Sie auf der Seite VPC Service Controls die Zugriffsrichtlinie aus, die der Richtlinie entspricht. Du kannst beispielsweise die Organisationsrichtlinie default policy auswählen.

  4. Klicken Sie auf Richtlinien verwalten.

  5. Klicken Sie auf der Seite VPC Service Controls verwalten auf Erstellen.

  6. Geben Sie auf der Seite Zugriffsrichtlinie erstellen im Feld Name der Zugriffsrichtlinie einen Namen für die Zugriffsrichtlinie für bestimmte Bereiche ein.

    Der Name der Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) oder Unterstriche (_) enthalten. Beim Namen der Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  7. Klicken Sie auf Bereiche, um einen Bereich für die Zugriffsrichtlinie anzugeben.

  8. Geben Sie als Bereich der Zugriffsrichtlinie entweder ein Projekt oder einen Ordner an.

    • So wählen Sie ein Projekt aus, das Sie dem Bereich der Zugriffsrichtlinie hinzufügen möchten:

      1. Klicken Sie unter Bereiche auf Projekt hinzufügen.

      2. Klicken Sie im Dialogfeld Projekt hinzufügen auf das Kästchen dieses Projekts.

      3. Klicken Sie auf Fertig. Das hinzugefügte Projekt wird im Bereich Bereiche angezeigt.

    • So wählen Sie einen Ordner aus, den Sie dem Bereich der Zugriffsrichtlinie hinzufügen möchten:

      1. Klicken Sie unter Bereiche auf Ordner hinzufügen.

      2. Klicken Sie im Dialogfeld Ordner hinzufügen auf das Kästchen neben den Ordnern.

      3. Klicken Sie auf Fertig. Der hinzugefügte Ordner wird im Abschnitt Bereiche angezeigt.

  9. Klicken Sie auf Hauptkonten, um die Verwaltung der Zugriffsrichtlinie zu delegieren.

  10. So geben Sie das Hauptkonto und die Rolle an, die Sie an die Zugriffsrichtlinie binden möchten:

    1. Klicken Sie im Bereich Hauptkonten auf Hauptkonten hinzufügen.

    2. Wählen Sie im Dialogfeld Hauptkonten hinzufügen ein Hauptkonto aus, z. B. einen Nutzernamen oder ein Dienstkonto.

    3. Wählen Sie die Rolle aus, die Sie dem Hauptkonto zuweisen möchten, z. B. Bearbeiter- und Leserollen.

    4. Klicken Sie auf Speichern. Das hinzugefügte Hauptkonto und die hinzugefügte Rolle werden im Abschnitt Hauptkonten angezeigt.

  11. Klicken Sie auf der Seite Zugriffsrichtlinie erstellen auf Zugriffsrichtlinie erstellen.

gcloud

Verwenden Sie den Befehl gcloud access-context-manager policies create, um eine umfassende Zugriffsrichtlinie zu erstellen.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dabei gilt:

  • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

  • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie Der Name der Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) oder Unterstriche (_) enthalten. Beim Namen der Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  • SCOPE ist der Ordner oder das Projekt, für das die Richtlinie gilt. Sie können nur einen Ordner oder ein Projekt als Bereich angeben. Der Bereich muss innerhalb der angegebenen Organisation vorhanden sein. Wenn Sie keinen Bereich angeben, gilt die Richtlinie für die gesamte Organisation.

Es wird folgende Ausgabe angezeigt, wobei POLICY_NAME eine eindeutige numerische Kennung für die Richtlinie ist, die von der GCP zugewiesen wird:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Mit dem Befehl add-iam-policy-binding können Sie die Verwaltung delegieren, indem Sie ein Hauptkonto und eine Rolle mit einer Zugriffsrichtlinie binden.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dabei gilt:

  • POLICY ist die ID der Richtlinie oder eine voll qualifizierte ID für die Richtlinie.

  • PRINCIPAL ist das Hauptkonto, für das die Bindung hinzugefügt werden soll. Geben Sie das Format im folgenden Format an: user|group|serviceAccount:email oder domain:domain.

  • ROLE der Rollenname, der dem Hauptkonto zugewiesen werden soll. Der Rollenname ist der vollständige Pfad einer vordefinierten Rolle wie roles/accesscontextmanager.policyReader oder die Rollen-ID für eine benutzerdefinierte Rolle wie organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

So erstellen Sie eine Zugriffsrichtlinie für bestimmte Bereiche:

  1. Erstellen Sie einen Anfragetext.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }
    

    Dabei gilt:

    • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

    • SCOPE ist der Ordner oder das Projekt, für das die Richtlinie gilt.

    • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie Der Name der Zugriffsrichtlinie darf maximal 50 Zeichen lang sein, muss mit einem Buchstaben beginnen und darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) oder Unterstriche (_) enthalten. Beim Namen der Zugriffsrichtlinie wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb der Zugriffsrichtlinie einer Organisation eindeutig sein.

  2. Erstellen Sie die Zugriffsrichtlinie, indem Sie accessPolicies.create aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

So delegieren Sie die Verwaltung der Bereichszugriffsrichtlinie:

  1. Erstellen Sie einen Anfragetext.

    {
     "policy": "IAM_POLICY",
    }
    

    Dabei gilt:

    • IAM_POLICY ist eine Sammlung von Bindungen. Durch eine Bindung werden ein oder mehrere Mitglieder oder Hauptkonten an eine einzelne Rolle gebunden. Hauptkonten können Nutzerkonten, Dienstkonten, Google-Gruppen und Domains sein. Eine Rolle ist eine benannte Liste von Berechtigungen. Jede Rolle kann eine vordefinierte IAM-Rolle oder eine vom Nutzer erstellte benutzerdefinierte Rolle sein.
  2. Erstellen Sie die Zugriffsrichtlinie, indem Sie accessPolicies.setIamPolicy aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Antworttext

Wenn der Vorgang erfolgreich abgeschlossen wurde, enthält der Antworttext eine Instanz von policy.

Weitere Informationen