Begrenzte Richtlinien sind neben einer Zugriffsrichtlinie, die Sie auf die gesamte Organisation anwenden können, auch Zugriffsrichtlinien, die für bestimmte Ordner oder Projekte gelten. Mit bereichsspezifischen Richtlinien können Sie die Verwaltung von VPC Service Controls-Perimetern und -Zugriffsebenen an Administratoren auf Ordner- und Projektebene delegieren.
Organisationen können nur eine Zugriffsrichtlinie auf Organisationsebene haben und Sie können die Zugriffsrichtlinie auf Organisationsebene auf jeden Ordner oder jedes Projekt in Ihrer Organisation anwenden.
Es kann Fälle geben, in denen Sie die Verwaltung einer Richtlinie für eine Teilmenge der Ressourcen einer Organisation, z. B. einen Ordner, an einen delegierten Administrator delegieren können. Sie können neben einer Zugriffsrichtlinie, die für die gesamte Organisation gelten kann, auch Zugriffsrichtlinien für bestimmte Ordner oder Projekte erstellen. Sie können Bereichsrichtlinien verwenden, um die Verwaltung von VPC Service Controls-Perimetern und -Zugriffsebenen an Administratoren auf Ordner- und Projektebene zu delegieren.
Wenn Sie die Verwaltung einer auf einen Bereich reduzierten Richtlinie delegieren, können die delegierten Administratoren diese bestimmte Richtlinie und nicht die Access Context Manager-Richtlinie der Organisation ändern oder lesen. Die auf einen Bereich beschränkten Richtlinien beschränken die Ressourcen, die in einem VPC Service Controls-Perimeter eingeschränkt werden können, sowie die Sichtbarkeit aller Zugriffsebenen.
Bereichsspezifische Richtlinienverwaltung
Als Access Context Manager-Administrator auf Organisationsebene können Sie bereichsspezifische Richtlinien erstellen, ändern und löschen. Sie können IAM-Bindungen (Identity and Access Management) direkt für die Access Context Manager-Richtlinie angeben und die weitere Delegierung der Verwaltung von Access Context Manager-Richtlinien an andere Nutzer in der Organisation ermöglichen. Ein Bereichsrichtlinienadministrator kann Dienstperimeter und Zugriffsebenen in Richtlinien konfigurieren. Ein Administrator für beschränkte Richtlinien kann jedoch keine neue Richtlinie erstellen oder den Geltungsbereich der Richtlinie ändern, um ihn auf einen anderen Ordner oder ein anderes Projekt anzuwenden.
So verwalten Administratoren die auf einen Bereich reduzierten Richtlinien:
Der Administrator auf Organisationsebene erstellt eine neue Zugriffsrichtlinie mit einem Bereichsfeld, das auf einen bestimmten Ordner oder ein bestimmtes Projekt verweist.
Der Administrator auf Organisationsebene weist dem delegierten Administrator direkt für die Zugriffsrichtlinienressource IAM-Berechtigungen zu. Der delegierte Administrator hat jetzt Berechtigungen für die beschränkte Richtlinie, aber keine Berechtigungen für eine andere Richtlinie, es sei denn, der Administrator auf Organisationsebene weist sie dem delegierten Administrator explizit zu.
Der delegierte Administrator kann jetzt die Richtlinie bearbeiten, um Zugriffsebenen und Dienstperimeter zu konfigurieren. Der delegierte Administrator kann auch jedem anderen Nutzer IAM-Berechtigungen für diese Richtlinie erteilen.
Wenn Sie einen Ordner oder ein Projekt löschen, wird auch die Richtlinie mit dem gelöschten Ordner oder Projekt gelöscht. Wenn Sie ein Projekt auf einen anderen Knoten in der Organisationshierarchie verschieben, wird die auf das Projekt beschränkte Richtlinie nicht automatisch geändert. Sie müssen die mit dem Projekt verknüpfte Richtlinie löschen, die Richtlinie dann neu erstellen und den Bereich angeben.
Hierarchie der beschränkten Richtlinien
Die Organisationsressource ist der Stammknoten der Google Cloud-Ressourcenhierarchie. Alle zu einer Organisation gehörenden Ressourcen sind dem Organisationsknoten untergeordnet. Ordner dienen der Gruppierung über Projekten. Ordner und Projekte existieren als untergeordnete Knoten der Organisationsressource.
Das folgende Diagramm zeigt eine Beispielorganisation mit Ordnern für jede Abteilung. Die Ordner enthalten Entwicklungs-, Test- und Produktionsprojekte.
In der Beispielorganisation gelten die folgenden Einschränkungen für einen Dienstperimeter oder eine Zugriffsebene in einer bereichsspezifischen Richtlinie:
Dienstperimeter in einer beschränkten Richtlinie können nur Ressourcen einschränken, die im Bereich dieser Richtlinie vorhanden sind. Beispielsweise kann ein Dienstperimeter in einer Richtlinie, der sich auf den Engineering-Ordner bezieht, die Projekte "example-dev", "example-prod" und "example-test" sichern, da sich die Projekte im Ordner "Engineer" befinden.
Wenn die beschränkte Richtlinie für den Verkaufsordner gilt, können die Dienstperimeter in dieser Richtlinie keine der Projekte „example-dev“, „example-prod“ und „example-test“ sichern. Der Dienstperimeter in der beschränkten Richtlinie kann jedoch den Zugriff auf Projekte in anderen Ordnern mithilfe von Regeln für eingehenden und ausgehenden Traffic zulassen.
Zugriffsebenen in einer beschränkten Richtlinie sind nur innerhalb des Geltungsbereichs der Richtlinie sichtbar. Wenn Sie eine Zugriffsebene in der Richtlinie für den Entwicklerordner erstellen, kann diese nur von Dienstperimetern und Zugriffsebenen im Entwicklerordner verwendet werden. Dienstperimeter und Zugriffsebenen in anderen Ordnern können nicht die im Entwicklerordner definierte Zugriffsebene verwenden.
Ein Speicherort, z. B. ein Ordner, in der Ressourcenhierarchie der Organisation example.com kann mehrere Richtlinien haben, die eine Zugriffsebene oder einen Dienstperimeter enthalten. Sind mehrere Richtlinien vorhanden, wird eine Ressourcenanfrage in der Organisation example.com nach den folgenden Regeln bewertet:
Eine Richtlinie kann nur einen Bereich enthalten, z. B. einen Ordner, aber Sie können eine Richtlinie für jede Ebene einer Organisation erstellen. Wenn der Bereich von Richtlinie 1 beispielsweise der Ordner „Engineer“ ist, können Sie ihn nicht als Bereich einer anderen Richtlinie festlegen. Sie können eine andere Richtlinie festlegen, bei der der Bereich auf das untergeordnete Element des Ordners „Entwickler“ festgelegt ist, z. B. „example-prod“.
Wenn der Geltungsbereich einer Richtlinie für ein Projekt oder ein übergeordnetes Projekt des Projekts gilt, können Sie das Projekt der Richtlinie hinzufügen. Ein Projekt kann jedoch in allen Richtlinien nur Mitglied eines Dienstperimeters sein. Beispielsweise kann eine Richtlinie, deren Bereich auf die Organisation "example.com" festgelegt ist, einen Dienstperimeter mit "example-dev" definieren. Eine Richtlinie, deren Bereich auf den Ordner "Engineering" oder den Bereich des Projekts "example-dev" festgelegt ist, kann das Projekt "example-dev" auch einem Perimeter hinzufügen, der in einem von beiden definiert ist. Allerdings kann nur eine dieser drei Richtlinien dieses Projekt enthalten.