Auf einen Bereich beschränkte Richtlinien

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Bereichsrichtlinien sind Zugriffsrichtlinien, die für bestimmte Ordner oder Projekte sowie eine Zugriffsrichtlinie gelten, die Sie auf die gesamte Organisation anwenden können. Sie können Richtlinien mit Umfang verwenden, um die Verwaltung von Perimetern und Zugriffsebenen von VPC Service Controls an Ordner- und Projektebene zu delegieren.

Organisationen können nur eine Zugriffsrichtlinie auf Organisationsebene haben. Sie können die Zugriffsrichtlinie auf Organisationsebene auf jeden Ordner oder jedes Projekt in Ihrer Organisation anwenden.

Es kann vorkommen, dass Sie die Verwaltung einer Richtlinie für einen Teil der Ressourcen einer Organisation, z. B. einen Ordner, an einen delegierten Administrator delegieren möchten. Sie können Zugriffsrichtlinien erstellen, die auf bestimmte Ordner oder Projekte sowie eine Zugriffsrichtlinie beschränkt sind, die auf die gesamte Organisation angewendet werden kann. Wenn Sie die Verwaltung von VPC Service Controls-Perimetern und -Zugriffsebenen an Administratoren auf Ordner- und Projektebene delegieren möchten, können Sie Richtlinien mit Umfang verwenden.

Wenn Sie die Verwaltung einer auf einen Bereich beschränkten Richtlinie delegieren, können die delegierten Administratoren diese bestimmte Richtlinie ändern oder lesen und nicht die Access Context Manager-Richtlinie der Organisation. Die auf einen Bereich reduzierten Richtlinien beschränken die Ressourcen, die in einem VPC Service Controls-Perimeter eingeschränkt werden können, sowie die Sichtbarkeit von Zugriffsebenen.

Bereichsbezogene Richtlinienverwaltung

Als Access Context Manager-Administrator auf Organisationsebene können Sie Richtlinien mit Umfang erstellen, ändern und löschen. Sie können IAM-Bindungen (Identity and Access Management) direkt in der Access Context Manager-Richtlinie angeben und die weitere Verwaltung der Access Context Manager-Richtlinienverwaltung an andere Nutzer in der Organisation zulassen. Ein Richtlinienadministrator mit Umfang kann Dienstperimeter und Zugriffsebenen in Richtlinien konfigurieren. Ein Administrator für eine solche Richtlinie kann jedoch keine neue Richtlinie erstellen oder den Umfang der Richtlinie ändern, um sie auf einen anderen Ordner oder ein anderes Projekt anzuwenden.

Im Folgenden finden Sie eine Abfolge, wie Administratoren die Richtlinien verwalten:

  1. Der Administrator auf Organisationsebene erstellt eine neue Zugriffsrichtlinie mit einem Bereichsfeld, das auf einen bestimmten Ordner oder ein bestimmtes Projekt verweist.

  2. Der Administrator auf Organisationsebene weist dem delegierten Administrator direkt auf die Ressource für Zugriffsrichtlinien IAM-Berechtigungen zu. Der delegierte Administrator hat jetzt Berechtigungen für die Richtlinienrichtlinie, aber keine Berechtigungen für andere Richtlinien, es sei denn, der Administrator auf Organisationsebene weist sie dem delegierten Administrator explizit zu.

  3. Der delegierte Administrator kann jetzt die Richtlinie bearbeiten, um Zugriffsebenen und Dienstperimeter zu konfigurieren. Der delegierte Administrator kann jedem anderen Nutzer auch IAM-Berechtigungen für diese Richtlinie erteilen.

Wenn Sie einen Ordner oder ein Projekt löschen, wird auch die Richtlinie mit dem gelöschten Ordner oder Projekt gelöscht. Wenn Sie ein Projekt auf einen anderen Knoten in der Organisationshierarchie verschieben, wird die Richtlinie für das Projekt nicht automatisch geändert. Sie müssen die mit dem Projekt verknüpfte Richtlinie löschen, die Richtlinie neu erstellen und den Bereich festlegen.

Hierarchie der Richtlinien

Die Organisationsressource ist der Stammknoten der Google Cloud-Ressourcenhierarchie. Alle zu einer Organisation gehörenden Ressourcen sind dem Organisationsknoten untergeordnet. Ordner sind ein Gruppierungsmechanismus über Projekten. Ordner und Projekte sind als untergeordnete Knoten der Organisationsressource vorhanden.

Das folgende Diagramm zeigt eine Beispielorganisation, die Ordner für jede Abteilung und die Ordner Entwicklungs-, Test- und Produktionsprojekte enthält.

Deployment-Architektur

In der Beispielorganisation gelten die folgenden Einschränkungen für einen Dienstperimeter oder eine Zugriffsebene in einer Richtlinie mit Geltungsbereich:

  • Dienstperimeter in einer Richtlinie mit Geltungsbereich können nur Ressourcen einschränken, die im Geltungsbereich dieser Richtlinie vorhanden sind. Beispielsweise kann ein Dienstperimeter in einer Richtlinie für den Entwicklerordner die Projekte „example-dev“, „example-prod“ und „example-test“ absichern, da sich die Projekte im Ordner „engineer“ befinden.

    Wenn die auf einen Bereich reduzierte Richtlinie für den Ordner „sales“ gilt, können die Dienstperimeter dieser Richtlinie die Projekte „example-dev“, „example-prod“ und „example-test“ nicht sichern. Der Dienstperimeter in der Geltungsbereich-Richtlinie kann jedoch den Zugriff auf Projekte in anderen Ordnern mithilfe von Regeln für eingehenden und ausgehenden Traffic zulassen.

  • Zugriffsebenen in einer auf einen Bereich beschränkten Richtlinie sind nur innerhalb des Bereichs der Richtlinie sichtbar. Wenn Sie eine Zugriffsebene in der Richtlinie für den Entwicklerordner erstellen, kann sie nur von Dienstperimetern und Zugriffsebenen im Entwicklerordner verwendet werden. Dienstperimeter und Zugriffsebenen in anderen Ordnern können nicht die im Entwicklerordner definierten Zugriffsebenen verwenden.

Ein Standort, z. B. ein Ordner, in der Ressourcenhierarchie der Organisation in example.com kann mehrere Richtlinien mit einer Zugriffsebene oder einem Dienstperimeter haben. Wenn mehrere Richtlinien vorhanden sind, wird eine Anfrage für Ressourcen in der Organisation example.com anhand der folgenden Regeln ausgewertet:

  • Eine Richtlinie kann nur einen Umfang enthalten, z. B. einen Ordner. Sie können jedoch für jede Ebene einer Organisation eine Richtlinie erstellen. Wenn der Bereich der Richtlinie 1 beispielsweise der Ordner „Engineering“ ist, können Sie ihn nicht als Bereich einer anderen Richtlinie festlegen. Sie können eine andere Richtlinie festlegen, bei der der Umfang auf das untergeordnete Element des Engineering-Ordners festgelegt wird, z. B. beispiel-prod.

  • Wenn der Geltungsbereich einer Richtlinie für ein Projekt oder ein übergeordnetes Projekt gilt, können Sie das Projekt der Richtlinie hinzufügen. Ein Projekt kann jedoch in allen Richtlinien nur einem Dienstperimeter angehören. Beispielsweise kann eine Richtlinie, deren Geltungsbereich auf die Organisation beispiel.de festgelegt ist, einen Dienstperimeter mit beispiel-dev definieren. Eine Richtlinie, deren Geltungsbereich auf den Entwicklerordner oder auf den beispielhaften Bereich für das beispiel-dev-Projekt festgelegt ist, kann auch das beispiel-dev-Projekt zu einem Perimeter hinzufügen, der in beiden definiert ist. Dieses Projekt kann jedoch nur eine dieser drei Richtlinien enthalten.

Nächste Schritte