分区政策

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

范围政策是访问权限政策,其范围适用于特定文件夹或项目,以及可应用于整个组织的访问权限政策。您可以使用分区政策将 VPC Service Controls 边界和访问权限级别的管理工作委托给文件夹级和项目级管理员。

组织只能在组织级制定一项访问权限政策,您可以将组织级访问权限政策应用于组织中的任何文件夹或项目。

在某些情况下,您可能希望将组织资源子集(例如文件夹)的政策管理委托给委派的管理员。您可以创建适用于特定文件夹或项目的访问政策,以及适用于整个组织的访问权限政策。如需将 VPC Service Controls 边界和访问权限级别的管理工作委托给文件夹级和项目级管理员,您可以使用分区政策。

当您将范围政策的管理工作委托给他人时,委派的管理员可以修改或读取特定的政策,但不能修改组织的 Access Context Manager 政策。限定了范围的政策会限制可在 VPC Service Controls 边界中限制的资源,以及任何访问权限级别的可见性。

分区政策管理

作为组织级 Access Context Manager 管理员,您可以创建、修改和删除范围政策。您可以直接在 Access Context Manager 政策中指定 Identity and Access Management (IAM) 绑定,并允许进一步将 Access Context Manager 政策管理委托给组织中的其他用户。分区政策管理员可以在政策中配置服务边界和访问权限级别。但是,限定了范围的政策管理员无法创建新政策或更改政策范围以应用于其他文件夹或项目。

以下是管理员如何管理范围限定的政策的序列:

  1. 组织级管理员创建新的访问权限政策,其中的范围字段引用特定文件夹或项目。

  2. 组织级管理员直接在访问权限政策资源上向委派的管理员分配 IAM 权限。现在,委派的管理员拥有分区政策的权限,但无权使用任何其他政策,除非组织级管理员明确将其分配给委派的管理员。

  3. 委派的管理员现在可以修改政策,以配置访问权限级别和服务边界。委派的管理员还可以将该政策的 IAM 权限授予任何其他用户。

如果删除文件夹或项目,则以该文件夹或项目作为作用域的政策也会一并删除。此外,如果您将项目移动到组织层次结构中的其他节点,则系统不会自动将范围限定到项目的政策修改。您必须删除与项目关联的政策,然后重新创建政策并指定范围。

限定范围的政策层次结构

组织资源是 Google Cloud 资源层次结构的根节点,属于某个组织的所有资源都属于该组织节点的子级。文件夹是基于项目的分组机制。文件夹和项目作为组织资源的子节点存在。

下图显示了一个示例组织,其中包含每个部门的文件夹,而文件夹包含开发、测试和生产项目。

部署架构

在示例组织中,以下限制条件适用于范围政策中的服务边界或访问权限级别:

  • 范围政策中的服务边界只能限制属于该政策范围内的资源。例如,政策范围限定为工程文件夹的服务边界可以保护 example-dev、example-prod 和 example-test 项目,因为这些项目位于工程文件夹中。

    如果分区政策适用于销售文件夹,则该政策中的服务边界无法保护 example-dev、example-prod 和 example-test 项目中的任何一个。但是,限定了范围的政策中的服务边界可以使用入站和出站规则允许访问其他文件夹中的项目。

  • 范围政策中的访问权限级别仅在该政策的范围内可见。如果您在政策中创建了范围限定为工程文件夹的访问权限级别,则只有工程文件夹中的服务边界和访问权限级别才能使用该访问权限级别。其他文件夹中的服务边界和访问权限级别不能使用工程文件夹中定义的访问权限级别。

example.com 组织资源层次结构中的位置(例如文件夹)可以有多个包含访问权限级别或服务边界的政策。存在多个政策时,系统会根据以下规则评估 example.com 组织中的资源请求:

  • 政策只能包含一个范围(例如文件夹),但您可以为组织的每个级别创建政策。例如,如果政策 1 的范围是工程文件夹,您就不能将工程文件夹设置为任何其他政策的范围。您可以设置另一个政策,并将范围设为工程文件夹的子文件夹,例如 example-prod。

  • 如果政策范围适用于项目或项目的父级,您可以将项目添加到政策中。但是,一个项目在所有政策中只能属于一个服务边界。例如,如果将范围设置为组织 example.com 的政策,可以使用 example-dev 定义服务边界。如果政策范围设为工程文件夹,或者范围设置为 example-dev 项目,则您也可以将 example-dev 项目添加到其中任何一个定义的边界。但是,只有这三项政策中的一项可以包含此项目。

后续步骤