分区政策

范围政策是范围限定为特定文件夹或项目的访问政策,以及可应用于整个组织的访问政策。您可以使用分区政策,将 VPC Service Controls 边界和访问权限级别的管理工作委托给文件夹级和项目级管理员。

组织只能在组织级有一个访问权限政策,您可以将组织级访问权限政策应用于组织中的任何文件夹或项目。

在某些情况下,您可能希望将组织部分资源(例如文件夹)的政策管理工作委托给委托的管理员。您可以创建适用于特定文件夹或项目的访问政策,同时创建适用于整个组织的访问政策。要将 VPC Service Controls 边界和访问权限级别的管理委派给文件夹级和项目级管理员,您可以使用分区政策。

当您将范围政策的管理权限委托给时,委派管理员可以修改或读取该特定政策,但不能修改组织的访问权限上下文管理器政策。分区政策限制了可在 VPC Service Controls 边界内限制的资源,以及任何访问权限级别的可见性。

分区政策管理

作为组织级 Access Context Manager 管理员,您可以创建、修改和删除分区政策。您可以直接在 Access Context Manager 政策中指定 Identity and Access Management (IAM) 绑定,并允许进一步将 Access Context Manager 政策管理委托给组织中的其他用户。分区政策管理员可以在政策中配置服务边界和访问权限级别。但是,限定了范围的政策管理员无法创建新政策或更改政策范围以应用于其他文件夹或项目。

管理员按以下方式管理范围政策:

  1. 组织级管理员会创建新的访问权限政策,其中的范围字段会引用特定文件夹或项目。

  2. 组织级管理员直接将访问权限政策资源的 IAM 权限分配给委托管理员。委派管理员现在拥有范围政策的权限,但对任何其他政策都没有权限,除非组织级管理员明确将其分配给委派管理员。

  3. 委派的管理员现在可以修改政策以配置访问权限级别和服务边界。委派的管理员还可以将该政策的 IAM 权限授予其他任何用户。

删除文件夹或项目时,以文件夹或项目作为范围的政策也将被删除。此外,如果您将项目移动到组织层次结构中的其他节点,则不会自动修改范围限定到项目的政策。您必须删除与项目关联的政策,然后重新创建政策并指定范围。

限定范围的政策层次结构

组织资源是 Google Cloud 资源层次结构的根节点,属于某个组织的所有资源都属于该组织节点的子级。文件夹是基于项目进行分组的机制。文件夹和项目作为组织资源的子节点存在。

下图显示了一个示例组织,其中包含每个部门的文件夹,而文件夹包含开发、测试和生产项目。

部署架构

在示例组织中,以下限制条件适用于范围政策或范围政策中的访问权限级别:

  • 范围政策中的服务边界只能限制属于该政策范围内的资源。例如,政策范围限定到工程文件夹的服务边界可以保护 example-dev、example-prod 和 example-test 项目,因为这些项目位于工程团队中。

    如果分区政策适用于销售文件夹,则该政策中的服务边界无法保护 example-dev、example-prod 和 example-test 项目。但是,限定范围政策中的服务边界可以使用入站和出站规则来允许访问其他文件夹中的项目。

  • 限定范围政策中的访问权限级别仅在政策范围内显示。如果您在政策范围内创建工程范围的文件夹,则只有工程文件夹中的服务边界和访问权限级别可以使用。其他文件夹中的服务边界和访问权限级别不能使用工程文件夹中定义的访问权限级别。

在 example.com 组织资源层次结构中的位置(如文件夹)可以有多个包含访问权限级别或服务边界的政策。如果存在多个政策,系统会根据以下规则评估 example.com 组织中的资源请求:

  • 政策只能包含一个范围(例如文件夹),但您可以为组织的每个层级创建政策。例如,如果政策 1 的范围是工程文件夹,您就不能将工程文件夹设置为任何其他政策的范围。您可以设置另一个政策,将范围设置为工程文件夹的子文件夹,例如 example-prod。

  • 如果政策的范围适用于某个项目或项目的父级,您可以将该项目添加到该政策。但是,一个项目可以是所有政策中一个服务边界的成员。例如,范围设置为组织 example.com 的政策可以定义一个具有 example-dev 的服务边界。范围设置为工程文件夹或范围设置为 example-dev 项目的政策也可以将 example-dev 项目添加到在其中定义的任何一个边界。但是,这三项政策中只有一个可以包含此项目。

后续步骤