Policy

Eine Richtlinie für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), die Zugriffssteuerungen für Google Cloud-Ressourcen festlegt.

Eine Policy ist eine Sammlung von bindings. Eine binding-Bindung bindet ein oder mehrere members oder Hauptkonten an eine einzelne role. Hauptkonten können Nutzerkonten, Dienstkonten, Google-Gruppen und Domains sein (z. B. G Suite). Eine role ist eine benannte Liste von Berechtigungen. Jede role kann eine vordefinierte IAM-Rolle oder eine vom Nutzer erstellte benutzerdefinierte Rolle sein.

Für einige Arten von Google Cloud-Ressourcen kann ein binding auch eine condition angeben. Dies ist ein logischer Ausdruck, der den Zugriff auf eine Ressource nur zulässt, wenn der Ausdruck true ergibt. Eine Bedingung kann Beschränkungen basierend auf Attributen der Anfrage, der Ressource oder beiden hinzufügen. Welche Ressourcen Bedingungen in ihren IAM-Richtlinien unterstützen, erfahren Sie in der IAM-Dokumentation.

JSON-Beispiel

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

YAML-Beispiel

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Eine Beschreibung von IAM und seinen Features finden Sie in der IAM-Dokumentation.

JSON-Darstellung
{
  "version": integer,
  "bindings": [
    {
      object (Binding)
    }
  ],
  "auditConfigs": [
    {
      object (AuditConfig)
    }
  ],
  "etag": string
}
Felder
version

integer

Gibt das Format der Richtlinie an.

Gültige Werte sind 0, 1 und 3. Anfragen mit einem ungültigen Wert werden abgelehnt.

Jeder Vorgang, der sich auf bedingte Rollenbindungen auswirkt, muss die Version 3 angeben. Diese Anforderung gilt für die folgenden Vorgänge:

  • Eine Richtlinie abrufen, die eine bedingte Rollenbindung enthält
  • Einer Richtlinie eine bedingte Rollenbindung hinzufügen
  • Eine bedingte Rollenbindung in einer Richtlinie ändern
  • Eine Rollenbindung mit oder ohne Bedingung aus einer Richtlinie entfernen, die Bedingungen enthält

Wichtig: Wenn Sie IAM-Bedingungen verwenden, müssen Sie das Feld etag bei jedem Aufruf von setIamPolicy einfügen. Wenn Sie dieses Feld nicht angeben, ermöglicht IAM das Überschreiben einer Richtlinie der Version 3 mit einer Richtlinie der Version 1. Alle Bedingungen in der Richtlinie der Version 3 gehen dann verloren.

Wenn eine Richtlinie keine Bedingungen enthält, geben Vorgänge für diese Richtlinie möglicherweise eine gültige Version an oder das Feld wird ohne Festlegung gelassen.

Welche Ressourcen Bedingungen in ihren IAM-Richtlinien unterstützen, erfahren Sie in der IAM-Dokumentation.

bindings[]

object (Binding)

Verbindet eine Liste von members oder Hauptkonten mit einer role. Optional können Sie eine condition angeben, die bestimmt, wie und wann bindings angewendet werden. Jede der bindings muss mindestens ein Hauptkonto enthalten.

Die bindings in einem Policy können auf bis zu 1.500 Hauptkonten verweisen. Maximal 250 dieser Hauptkonten können Google-Gruppen sein. Jedes Vorkommen eines Hauptkontos wird auf diese Limits angerechnet. Wenn beispielsweise bindings 50 verschiedene Rollen zu user:alice@example.com und keinem anderen Hauptkonto zuweist, können Sie dem bindings in Policy weitere 1.450 Hauptkonten hinzufügen.

auditConfigs[]

object (AuditConfig)

Legt die Konfiguration der Cloud-Audit-Protokollierung für diese Richtlinie fest.

etag

string (bytes format)

etag wird für eine optimistische Gleichzeitigkeitserkennung verwendet, mit der verhindert werden kann, dass sich gleichzeitige Aktualisierungen einer Richtlinie gegenseitig überschreiben. Die Verwendung des etag im Zyklus von Lesen/Ändern/Schreiben zur Ausführung von Richtlinienaktualisierungen wird ausdrücklich empfohlen, um Race-Bedingungen zu vermeiden: Als Antwort auf getIamPolicy wird ein etag zurückgegeben. Es wird erwartet, dass Systeme dieses ETag in die Anforderung an setIamPolicy aufnehmen, damit ihre Änderung auf dieselbe Richtlinienversion angewendet wird.

Wichtig: Wenn Sie IAM-Bedingungen verwenden, müssen Sie das Feld etag bei jedem Aufruf von setIamPolicy einfügen. Wenn Sie dieses Feld nicht angeben, ermöglicht IAM das Überschreiben einer Richtlinie der Version 3 mit einer Richtlinie der Version 1. Alle Bedingungen in der Richtlinie der Version 3 gehen dann verloren.

Ein base64-codierter String