Bereichsbezogene Richtlinien

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Bereichsrichtlinien sind Zugriffsrichtlinien, die sich auf bestimmte Ordner oder Projekte sowie eine Zugriffsrichtlinie beziehen, die Sie auf die gesamte Organisation anwenden können. Mithilfe von Richtlinien können Sie die Verwaltung von Perimeter- und Zugriffsebenen für VPC Service Controls an Administratoren auf Ordner- und Projektebene delegieren.

Organisationen können nur eine Zugriffsrichtlinie auf Organisationsebene haben. Sie können die Zugriffsrichtlinie auf Organisationsebene auf jeden Ordner oder jedes Projekt in Ihrer Organisation anwenden.

Es kann Fälle geben, in denen Sie die Verwaltung einer Richtlinie für eine Teilmenge der Ressourcen einer Organisation, z. B. eines Ordners, an einen delegierten Administrator delegieren möchten. Sie können Zugriffsrichtlinien für bestimmte Ordner oder Projekte sowie eine Zugriffsrichtlinie erstellen, die für die gesamte Organisation gilt. Wenn Sie die Verwaltung von VPC Service Controls-Perimetern und -Zugriffen an Administratoren auf Ordner- und Projektebene delegieren möchten, können Sie Richtlinien mit Umfang verwenden.

Wenn Sie die Verwaltung einer Bereichsrichtlinie delegieren, können die delegierten Administratoren diese bestimmte Richtlinie ändern oder lesen, nicht die Access Context Manager-Richtlinie der Organisation. Solche Richtlinien schränken die Ressourcen, die in einem VPC Service Controls-Perimeter eingeschränkt werden können, sowie die Sichtbarkeit aller Zugriffsebenen ein.

Bereichsrichtlinien-Verwaltung

Als Access Context Manager-Administrator auf Organisationsebene können Sie umfassende Richtlinien erstellen, ändern und löschen. Sie können die IAM-Bindungen (Identity and Access Management) direkt in der Access Context Manager-Richtlinie festlegen und die weitere Verwaltung der Richtlinien von Access Context Manager an andere Nutzer in der Organisation zulassen. Ein Richtlinienadministrator mit Umfang kann Dienstperimeter und Zugriffsebenen in Richtlinien konfigurieren. Ein Administrator der Bereichsrichtlinie kann jedoch keine neue Richtlinie erstellen oder den Umfang der Richtlinie so ändern, dass sie auf einen anderen Ordner oder ein anderes Projekt angewendet wird.

Im Folgenden sehen Sie, wie Administratoren die Bereichsrichtlinien verwalten:

  1. Der Administrator auf Organisationsebene erstellt eine neue Zugriffsrichtlinie mit einem Bereichsfeld, das auf einen bestimmten Ordner oder ein bestimmtes Projekt verweist.

  2. Der Administrator auf Organisationsebene weist dem delegierten Administrator direkt auf die Ressource für Zugriffsrichtlinien IAM-Berechtigungen zu. Der delegierte Administrator hat jetzt Berechtigungen für die Bereichsrichtlinie, aber keine Berechtigungen für andere Richtlinien, es sei denn, der Administrator auf Organisationsebene weist sie explizit dem delegierten Administrator zu.

  3. Der delegierte Administrator kann nun die Richtlinie bearbeiten, um Zugriffsebenen und Dienstperimeter zu konfigurieren. Der delegierte Administrator kann anderen Nutzern auch IAM-Berechtigungen für diese Richtlinie gewähren.

Wenn Sie einen Ordner oder ein Projekt löschen, wird auch die Richtlinie gelöscht, in der der gelöschte Ordner oder das gelöschte Projekt festgelegt ist. Wenn Sie ein Projekt auf einen anderen Knoten in der Organisationshierarchie verschieben, wird die auf das Projekt beschränkte Richtlinie auch nicht automatisch geändert. Sie müssen die mit dem Projekt verknüpfte Richtlinie löschen, die Richtlinie dann neu erstellen und den Bereich angeben.

Hierarchie der Bereichsrichtlinien

Die Organisationsressource ist der Stammknoten der Google Cloud-Ressourcenhierarchie. Alle zu einer Organisation gehörenden Ressourcen sind als untergeordnete Elemente des Organisationsknotens vorhanden. Ordner sind ein Gruppierungsmechanismus neben Projekten. Ordner und Projekte sind untergeordnete Knoten der Organisationsressource.

Das folgende Diagramm zeigt eine Beispielorganisation, die Ordner für jede Abteilung enthält. Die Ordner enthalten Entwicklungs-, Test- und Produktionsprojekte.

Bereitstellungsarchitektur

In der Beispielorganisation gelten die folgenden Einschränkungen für einen Dienstperimeter oder eine Zugriffsebene in einer Bereichsrichtlinie:

  • Dienstperimeter in einer Bereichsrichtlinie können nur Ressourcen einschränken, die im Bereich dieser Richtlinie vorhanden sind. Beispielsweise kann ein Dienstperimeter in einer auf den Engineering-Ordner beschränkten Richtlinie die Projekte „example-dev“, „example-prod“ und „example-test“ absichern, da sich die Projekte im Ordner „engineering“ befinden.

    Wenn die Bereichsrichtlinie für den Ordner „Sales“ gilt, können Dienstperimeter in dieser Richtlinie keine Projekte des Typs „beispiel-dev“, „beispiel-prod“ und „beispiel-test“ sichern. Der Dienstperimeter in der Bereichsrichtlinie kann jedoch den Zugriff auf Projekte in anderen Ordnern mithilfe von Regeln für eingehenden und ausgehenden Traffic zulassen.

  • Zugriffsebenen in einer Richtlinie werden nur im Rahmen der Richtlinie angezeigt. Wenn Sie eine Zugriffsebene in der Richtlinie erstellen, die auf den Ordner „Entwicklung“ ausgerichtet ist, können diese nur von Dienstperimetern und Zugriffsebenen im Ordner „Entwickler“ verwendet werden. Dienstperimeter und Zugriffsebenen in anderen Ordnern können nicht die im Entwicklungsordner definierten Zugriffsebene verwenden.

Ein Standort, z. B. ein Ordner, in der Ressourcenhierarchie der Organisation beispiel.de kann mehrere Richtlinien enthalten, die eine Zugriffsebene oder einen Dienstperimeter enthalten. Wenn mehrere Richtlinien vorhanden sind, wird eine Anfrage für Ressourcen in der Organisation beispiel.de anhand der folgenden Regeln ausgewertet:

  • Eine Richtlinie kann nur einen Umfang enthalten, z. B. einen Ordner. Sie können jedoch eine Richtlinie für jede Ebene einer Organisation erstellen. Wenn der Umfang der Richtlinie 1 beispielsweise der Ordner „Technik“ ist, können Sie ihn nicht als Bereich einer anderen Richtlinie festlegen. Sie können auch eine andere Richtlinie festlegen, bei der der Bereich auf den untergeordneten Ordner des Engineering-Ordners gesetzt wird, z. B. example-prod.

  • Wenn der Geltungsbereich einer Richtlinie für ein Projekt oder ein übergeordnetes Projekt gilt, können Sie das Projekt der Richtlinie hinzufügen. Ein Projekt kann jedoch nur in einem Dienstperimeter über alle Richtlinien hinweg Mitglied sein. Beispielsweise kann eine Richtlinie, deren Geltungsbereich auf die Organisation beispiel.de festgelegt ist, einen Dienstperimeter mit beispiel-dev definieren. Eine Richtlinie, für die der Geltungsbereich für die Entwicklungsabteilung oder der Bereich für das Projekt „beispiel-dev“ festgelegt ist, kann auch das Projekt „beispiel-dev“ einem von ihnen definierten Perimeter hinzufügen. Allerdings kann nur eine dieser drei Richtlinien dieses Projekt enthalten.

Weitere Informationen