本页面介绍如何为组织创建组织级访问权限政策,以及为组织中的文件夹和项目创建分区政策。
准备工作
- 确保您拥有正确的权限来使用 Access Context Manager。
创建组织级访问权限政策
对于组织,如果存在组织级访问权限政策,则您无法创建组织级访问权限政策。
控制台
当您创建访问权限级别或 VPC Service Controls 服务边界时,系统会自动创建默认访问权限政策。无需执行其他手动步骤。
gcloud
如需创建组织级访问权限政策,请使用 create 命令。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。
您应该会看到如下所示的输出(其中 POLICY_NAME 是 GCP 分配的政策的唯一数字标识符):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
接下来,设置默认政策。
API
要创建组织级访问权限政策,请执行以下操作:
创建请求正文。
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。
通过调用
accessPolicies.create创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,调用的响应正文将包含一个 Operation 资源,用于提供与 POST 操作相关的详细信息。
创建分区访问权限政策并委派政策
控制台
在 Google Cloud Console 导航菜单中,点击安全,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上,选择分区政策的父项的访问权限政策。例如,您可以选择
default policy组织政策。点击管理政策。
在管理 VPC Service Controls 页面上,点击创建。
在创建访问权限政策页面的访问权限政策名称框中,为范围限定的访问权限政策输入名称。
范围限定的访问政策名称的最大长度为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_)。范围限定的访问权限政策名称区分大小写,并且在组织的访问权限政策中必须是唯一的。要为访问权限政策指定范围,请点击范围。
将项目或文件夹指定为访问权限政策的范围。
如需选择要添加到访问权限政策范围内的项目,请执行以下操作:
在范围窗格中,点击添加项目。
在 Add project 对话框中,选中该项目的复选框。
点击完成。添加的项目将显示在 Scopes 部分中。
如需选择要添加到访问权限政策范围内的文件夹,请执行以下操作:
在范围窗格中,点击添加文件夹。
在添加文件夹对话框中,选中相应文件夹的复选框。
点击完成。添加的文件夹会显示在 Scopes(范围)部分。
如需委派范围限定访问权限政策的管理,请点击主帐号。
如需指定要绑定到访问权限政策的主帐号和角色,请执行以下操作:
在主帐号窗格中,点击添加主帐号。
在添加主帐号对话框中,选择一个主帐号,例如用户名或服务帐号。
选择要与主帐号关联的角色,例如 Editor 和 Read 角色。
点击保存。添加的主帐号和角色会显示在主帐号部分中。
在创建访问权限政策页面上,点击创建访问权限政策。
gcloud
如需创建分区访问权限政策,请使用 gcloud access-context-manager policies create 命令。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
其中:
ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。 政策标题的长度上限为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_)。政策标题区分大小写,且在组织的访问权限政策中必须是唯一的。SCOPE 是此政策适用的文件夹或项目。您只能指定一个文件夹或项目作为范围,并且范围必须存在于指定的组织中。如果您未指定范围,则政策将应用于整个组织。
系统将显示以下输出(其中 POLICY_NAME 是 GCP 分配的政策的唯一数字标识符):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
要通过将主帐号和角色绑定到范围限定的访问权限政策来委派管理,请使用 add-iam-policy-binding 命令。
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
其中:
POLICY 是政策的 ID 或政策的完全限定标识符。
PRINCIPAL 是要为其添加绑定的主帐号。请按以下格式指定:
user|group|serviceAccount:email或domain:domain。ROLE 是分配给主帐号的角色名称。角色名称是预定义角色(如
roles/accesscontextmanager.policyReader)的完整路径或自定义角色(如organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader)的角色 ID。
API
如需创建分区访问权限政策,请执行以下操作:
创建请求正文。
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }其中:
ORGANIZATION_ID 是您的组织的数字 ID。
SCOPE 是此政策适用的文件夹或项目。
POLICY_TITLE 是直观易懂的政策标题。 政策标题的长度上限为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (
_)。政策标题区分大小写,且在组织的访问权限政策中必须是唯一的。
通过调用
accessPolicies.create创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,调用的响应正文将包含一个 Operation 资源,用于提供与 POST 操作相关的详细信息。
如需委派范围限定访问权限政策的管理,请执行以下操作:
创建请求正文。
{ "policy": "IAM_POLICY", }其中:
- IAM_POLICY 是绑定的集合。绑定会将一个或多个成员或主帐号绑定到单个角色。主帐号可以是用户帐号、服务帐号、Google 群组和网域。角色是具名的权限列表;每个角色可以是 IAM 预定义角色或用户创建的自定义角色。
通过调用
accessPolicies.setIamPolicy创建访问政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
响应正文
如果成功,则响应正文包含一个 policy 实例。