范围限制的政策

限定范围的政策是范围限定为特定文件夹或项目的访问政策,以及可以应用于整个组织的访问权限政策。您可以使用限定范围的政策,将 VPC Service Controls 边界和访问权限级别的管理委托给文件夹级和项目级管理员。

组织在组织级别只能有一个访问权限政策,您可以将组织级别的访问权限政策应用于组织中的任何文件夹或项目。

在某些情况下,您可能需要将组织资源一部分(例如文件夹)的政策管理工作委派给委派管理员。您可以创建范围限定为特定文件夹或项目的访问权限政策,以及可应用于整个组织的访问权限政策。如需将 VPC Service Controls 边界和访问权限级别的管理委托给文件夹级和项目级管理员,您可以使用限定范围的政策。

当您委派对限定范围的政策的管理时,委派管理员可以修改或读取该特定政策,但不能修改或读取组织的 Access Context Manager 政策。限定范围的政策会限制可在 VPC Service Controls 边界内受限的资源,以及任何访问权限级别的可见性。

范围政策管理

作为组织级 Access Context Manager 管理员,您可以创建、修改和删除限定范围的政策。您可以直接在 Access Context Manager 政策中指定 Identity and Access Management (IAM) 绑定,并允许将 Access Context Manager 政策管理进一步委托给组织中的其他用户。限定范围的政策管理员可以在政策中配置服务边界和访问权限级别。但是,限定了范围的政策管理员无法创建新政策,也无法将政策范围更改为应用于其他文件夹或项目。

管理员管理范围内的政策的一系列方式如下:

  1. 组织级管理员会创建新的访问权限政策,其范围字段引用特定文件夹或项目。

  2. 组织级管理员可直接将针对访问权限政策资源的 IAM 权限分配给委派管理员。委派的管理员现在对限定范围内的政策拥有权限,但对任何其他政策没有权限,除非组织级管理员明确将其分配给委派的管理员。

  3. 委派管理员现在可以修改政策以配置访问权限级别和服务边界。委派管理员还可以将该政策的 IAM 权限授予任何其他用户。

删除文件夹或项目时,将被删除的文件夹或项目作为其范围的政策也会被删除。此外,如果将项目移动到组织层次结构中的另一个节点,系统不会自动修改范围限定到该项目的政策。您必须删除与项目关联的政策,然后重新创建政策并指定范围。

范围限定的政策层次结构

组织资源是 Google Cloud 资源层次结构的根节点,属于某个组织的所有资源都作为组织节点的子级存在。文件夹是基于项目的分组机制。文件夹和项目作为组织资源的子节点存在。

下图显示了一个示例组织,其中包含每个部门的文件夹,而文件夹包含开发项目、测试项目和生产项目。

部署架构

在示例组织中,以下限制条件适用于服务边界或限定范围政策中的访问权限级别:

  • 限定范围的政策中的服务边界只能限制该政策范围内的资源。例如,作用域限定为“ Engineering”文件夹的政策中的服务边界可以保护 example-dev、example-prod 和 example-test 项目,因为这些项目位于设计文件夹中。

    如果限定了范围的政策适用于销售文件夹,则该政策中的服务边界无法保护 example-dev、example-prod 和 example-test 中的任何项目。但是,限定范围内的政策中的服务边界可以使用入站和出站规则允许访问其他文件夹中的项目。

  • 限定范围内的政策中的访问权限级别仅在该政策的范围内可见。如果您在范围限定为工程文件夹的政策中创建访问权限级别,则只有工程文件夹中的服务边界和访问权限级别可以使用该访问权限级别。其他文件夹中的服务边界和访问权限级别不能使用工程文件夹中定义的访问权限级别。

example.com 组织资源层次结构中的位置(例如文件夹)可以有多个包含访问权限级别或服务边界的政策。如果存在多项政策,系统将根据以下规则评估对 example.com 组织中资源的请求:

  • 政策只能包含一个范围(例如文件夹),但您可以为组织的每个级别创建政策。例如,如果政策 1 的范围是工程文件夹,则您不能将工程文件夹设置为任何其他政策的范围。您还可以设置另一个政策,将范围设为工程文件夹的子级,例如 example-prod。

  • 如果政策范围适用于某个项目或项目的父级,您可以将该项目添加到该政策中。但是,一个项目只能是所有政策的一个服务边界的成员。例如,范围设置为组织 example.com 的政策可以定义具有 example-dev 的服务边界。此外,将范围设置为工程文件夹或范围设置为 example-dev 项目的政策还可以将 example-dev 项目添加到其中任一定义的边界内。但是,这三项政策中只有一项可以包含此项目。

后续步骤