Bereichsspezifische Richtlinien sind Zugriffsrichtlinien, die auf bestimmte Ordner oder Projekte beschränkt sind, sowie eine Zugriffsrichtlinie, die Sie auf die gesamte Organisation anwenden können. Mit Bereichsrichtlinien können Sie die Verwaltung von VPC Service Controls-Perimetern und Zugriffsebenen an Administratoren auf Ordner- und Projektebene delegieren.
Organisationen können nur eine Zugriffsrichtlinie auf Organisationsebene haben. Sie können die Zugriffsrichtlinie auf Organisationsebene auf jeden Ordner oder jedes Projekt in Ihrer Organisation anwenden.
Es kann vorkommen, dass Sie die Verwaltung einer Richtlinie für einen Teil der Ressourcen einer Organisation, z. B. für einen Ordner, an einen delegierten Administrator delegieren möchten. Sie können neben einer Zugriffsrichtlinie, die für die gesamte Organisation gelten kann, Zugriffsrichtlinien erstellen, die auf bestimmte Ordner oder Projekte beschränkt sind. Wenn Sie die Verwaltung von VPC Service Controls-Perimetern und Zugriffsebenen an Administratoren auf Ordner- und Projektebene delegieren möchten, können Sie Bereichsrichtlinien verwenden.
Wenn Sie die Verwaltung einer Richtlinie mit begrenztem Umfang delegieren, können die delegierten Administratoren diese bestimmte Richtlinie ändern oder lesen, aber nicht die Access Context Manager-Richtlinie der Organisation. Mit den Richtlinien mit Gültigkeitsbereich werden die Ressourcen eingeschränkt, die in einem VPC Service Controls-Perimeter eingeschränkt werden können, und die Sichtbarkeit aller Zugriffsebenen.
Verwaltung von Richtlinien mit begrenztem Umfang
Als Access Context Manager-Administrator auf Organisationsebene können Sie Richtlinien mit Gültigkeitsbereich erstellen, ändern und löschen. Sie können IAM-Bindungen (Identity and Access Management) direkt in der Access Context Manager-Richtlinie angeben und die Verwaltung der Access Context Manager-Richtlinien an andere Nutzer in der Organisation weiter delegieren. Ein Richtlinienadministrator mit Bereichszugriff kann Dienstperimeter und Zugriffsebenen in Richtlinien konfigurieren. Administratoren von Richtlinien mit begrenztem Umfang können jedoch keine neue Richtlinie erstellen oder den Geltungsbereich der Richtlinie so ändern, dass sie auf einen anderen Ordner oder ein anderes Projekt angewendet wird.
So verwalten Administratoren Richtlinien mit Gültigkeitsbereich:
Der Administrator auf Organisationsebene erstellt eine neue Zugriffsrichtlinie mit einem Bereichsfeld, das auf einen bestimmten Ordner oder ein bestimmtes Projekt verweist.
Der Administrator auf Organisationsebene weist dem delegierten Administrator IAM-Berechtigungen direkt für die Zugriffsrichtlinienressource zu. Der delegierte Administrator hat jetzt Berechtigungen für die Richtlinie mit Bereich, aber keine Berechtigungen für andere Richtlinien, es sei denn, der Administrator auf Organisationsebene weist sie ihm ausdrücklich zu.
Der delegierte Administrator kann die Richtlinie jetzt bearbeiten, um Zugriffsebenen und Dienstperimeter zu konfigurieren. Der delegierte Administrator kann auch anderen Nutzern IAM-Berechtigungen für diese Richtlinie erteilen.
Wenn Sie einen Ordner oder ein Projekt löschen, wird auch die Richtlinie gelöscht, deren Gültigkeitsbereich der gelöschte Ordner oder das gelöschte Projekt ist. Wenn Sie ein Projekt auch zu einem anderen Knoten in der Organisationshierarchie verschieben, wird die auf das Projekt angewendete Richtlinie nicht automatisch geändert. Sie müssen die mit dem Projekt verknüpfte Richtlinie löschen, sie dann neu erstellen und den Bereich angeben.
Hierarchie der bereichsspezifischen Richtlinien
Die Organisationsressource ist der Stammknoten der Google Cloud Ressourcenhierarchie. Alle zu einer Organisation gehörenden Ressourcen sind dem Organisationsknoten untergeordnet. Ordner sind ein Gruppierungsmechanismus, der zusätzlich zu Projekten verwendet wird. Ordner und Projekte sind untergeordnete Knoten der Organisationsressource.
Das folgende Diagramm zeigt eine Beispielorganisation mit Ordnern für jede Abteilung. Die Ordner enthalten Entwicklungs-, Test- und Produktionsprojekte.
In der Beispielorganisation gelten für einen Dienstperimeter oder eine Zugriffsebene in einer Richtlinie mit begrenztem Umfang die folgenden Einschränkungen:
Dienstperimeter in einer Richtlinie mit Gültigkeitsbereich können nur Ressourcen einschränken, die im Geltungsbereich dieser Richtlinie liegen. Beispielsweise kann ein Dienstperimeter in einer Richtlinie, die auf den Ordner „Engineering“ beschränkt ist, die Projekte „example-dev“, „example-prod“ und „example-test“ schützen, da sich die Projekte im Ordner „Engineering“ befinden.
Wenn die Richtlinien mit begrenztem Umfang auf den Ordner „sales“ angewendet werden, können mit den Dienstperimetern in dieser Richtlinie keine der Projekte „example-dev“, „example-prod“ und „example-test“ geschützt werden. Der Dienstperimeter in der Richtliniendefinition kann jedoch mithilfe von Regeln für eingehenden und ausgehenden Traffic den Zugriff auf Projekte in anderen Ordnern zulassen.
Zugriffsebenen in einer Bereichsrichtlinie sind nur im Geltungsbereich der Richtlinie sichtbar. Wenn Sie in der Richtlinie eine Zugriffsebene für den Ordner „Engineering“ erstellen, kann sie nur von Dienstperimetern und Zugriffsebenen im Ordner „Engineering“ verwendet werden. Für Dienstperimeter und Zugriffsebenen in anderen Ordnern kann nicht die im Engineering-Ordner definierte Zugriffsebene verwendet werden.
Ein Ort, z. B. ein Ordner, in der Ressourcenhierarchie der Organisation „beispiel.de“ kann mehrere Richtlinien mit einer Zugriffsebene oder einem Dienstperimeter haben. Wenn mehrere Richtlinien vorhanden sind, wird eine Anfrage für Ressourcen in der Organisation „beispiel.de“ anhand der folgenden Regeln ausgewertet:
Eine Richtlinie kann nur einen Bereich umfassen, z. B. einen Ordner. Sie können jedoch eine Richtlinie für jede Ebene einer Organisation erstellen. Wenn der Geltungsbereich von Richtlinie 1 beispielsweise der Ordner „Engineering“ ist, können Sie den Ordner „Engineering“ nicht als Geltungsbereich einer anderen Richtlinie festlegen. Sie können eine weitere Richtlinie mit dem Gültigkeitsbereich „untergeordnet“ des Ordners „engineering“ festlegen, z. B. „beispiel-prod“.
Wenn der Geltungsbereich einer Richtlinie auf ein Projekt oder ein übergeordnetes Element des Projekts zutrifft, können Sie das Projekt der Richtlinie hinzufügen. Ein Projekt kann jedoch nur einem einzigen Dienstperimeter für alle Richtlinien angehören. Beispiel: Mit einer Richtlinie, deren Umfang auf die Organisation beispiel.de festgelegt ist, kann ein Dienstperimeter mit beispiel-dev definiert werden. Mit einer Richtlinie, deren Umfang auf den Ordner „Engineering“ oder das Projekt „beispiel-dev“ festgelegt ist, kann das Projekt „beispiel-dev“ auch einem Perimeter hinzugefügt werden, der in einem der beiden festgelegt ist. Allerdings kann nur eine dieser drei Richtlinien dieses Projekt enthalten.