IAM-Richtlinien konfigurieren
Auf dieser Seite wird beschrieben, wie Sie IAM-Richtlinien (Identity and Access Management) konfigurieren, mit denen Mitglieder Certificate Authority Service-Ressourcen erstellen und verwalten können. Weitere Informationen zu IAM finden Sie in der Übersicht zu IAM.
Allgemeine IAM-Richtlinien
In CA Service weisen Sie Nutzern oder Dienstkonten IAM-Rollen zum Erstellen und Verwalten von CA Service-Ressourcen zu. Sie können diese Rollenbindungen auf den folgenden Ebenen hinzufügen:
- CA-Poolebene, um den Zugriff für einen bestimmten CA-Pool und für die CAs in diesem CA-Pool zu verwalten.
- Projekt- oder Organisationsebene, um Zugriff auf alle CA-Pools in diesem Bereich zu gewähren.
Rollen werden übernommen, wenn sie auf einer höheren Ressourcenebene gewährt werden. Beispielsweise kann ein Nutzer, dem die Rolle „Auditor“ (roles/privateca.auditor
) auf Projektebene zugewiesen ist, alle Ressourcen im Projekt ansehen. IAM-Richtlinien, die für einen CA-Pool festgelegt sind, werden von allen CAs in diesem CA-Pool übernommen.
Für Zertifikate und CA-Ressourcen können keine IAM-Rollen zugewiesen werden.
Bedingte IAM-Richtlinien
Wenn Sie einen gemeinsamen CA-Pool haben, der von mehreren Nutzern verwendet werden kann, die zum Anfordern verschiedener Arten von Zertifikaten berechtigt sind, können Sie IAM-Bedingungen definieren, um den attributbasierten Zugriff zu erzwingen, um bestimmte Vorgänge in einem CA-Pool auszuführen.
Mit bedingten IAM-Rollenbindungen können Sie Hauptkonten nur dann Zugriff gewähren, wenn bestimmte Bedingungen erfüllt sind. Beispiel: Wenn die Rolle Zertifikatanfrager an den Nutzer alice@example.com
in einem CA-Pool mit der Bedingung gebunden ist, dass die angeforderten DNS-SANs eine Teilmenge von ['alice@example.com', 'bob@example.com']
sind, kann dieser Nutzer nur dann Zertifikate aus demselben CA-Pool anfordern, wenn das angeforderte SANs einer dieser beiden zulässigen Werte ist. Sie können Bedingungen für IAM-Bindungen mithilfe von Common Expression Language-Ausdrücken (CEL) festlegen. Mit diesen Bedingungen können Sie die Art von Zertifikaten, die ein Nutzer anfordern kann, weiter einschränken. Informationen zur Verwendung von CEL-Ausdrücken für IAM-Bedingungen finden Sie unter Common Expression Language (CEL)-Dialekt für IAM-Richtlinien.
Hinweise
- API aktivieren.
- Erstellen Sie einen Zertifizierungsstellen- und Zertifizierungsstellenpool, indem Sie die Anweisungen in einer der Kurzanleitungen befolgen.
- Mehr über die für Certificate Authority Service verfügbaren IAM-Rollen erfahren
IAM-Richtlinienbindungen auf Projektebene konfigurieren
In den folgenden Szenarien wird beschrieben, wie Sie Nutzern Zugriff auf CA Service-Ressourcen auf Projektebene gewähren.
Ressourcen verwalten
Ein CA Service Admin (roles/privateca.admin
) hat die Berechtigungen zum Verwalten aller CA Service-Ressourcen und zum Festlegen von IAM-Richtlinien für CA-Pools und Zertifikatsvorlagen.
So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service Admin“ (roles/privateca.admin
) zu:
Console
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie das Projekt aus.
Klicken Sie auf
Zugriff erlauben.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Admin aus.
Klicken Sie auf Speichern.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.admin
Ersetzen Sie Folgendes:
- PROJECT_ID: die eindeutige Kennung des Projekts.
- MEMBER: Der Nutzer oder das Dienstkonto, dem Sie die Rolle „CA Service Admin“ zuweisen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
Ressourcen erstellen
Ein CA Service Operation Manager (roles/privateca.caManager
) kann CA-Pools und CAs erstellen, aktualisieren und löschen. Mit dieser Rolle kann der Aufrufer auch Zertifikate widerrufen, die von den CAs im CA-Pool ausgestellt wurden.
So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service Operation Manager“ (roles/privateca.caManager
) zu:
Console
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie das Projekt aus.
Klicken Sie auf
Zugriff erlauben.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Operation Manager aus.
Klicken Sie auf Speichern.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.caManager
Ersetzen Sie Folgendes:
- PROJECT_ID: die eindeutige Kennung des Projekts.
- MEMBER: Nutzer oder Dienstkonto, dem Sie die IAM-Rolle hinzufügen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
Weitere Informationen zum Befehl gcloud projects add-iam-policy-binding
finden Sie unter gcloud projects add-iam-policy-binding.
Zum Erstellen einer Zertifizierungsstelle mit einem vorhandenen Cloud KMS-Schlüssel muss der Aufrufer optional auch Administrator des Cloud KMS-Schlüssels sein.
Der Cloud KMS-Administrator (roles/cloudkms.admin
) hat vollständigen Zugriff auf alle Cloud KMS-Ressourcen mit Ausnahme der Verschlüsselungs- und Entschlüsselungsvorgänge. Weitere Informationen zu IAM-Rollen für Cloud KMS finden Sie unter Cloud KMS: Berechtigungen und Rollen.
So weisen Sie einem Nutzer die Cloud KMS-Administratorrolle (roles/cloudkms.admin
) zu:
Console
Rufen Sie in der Google Cloud Console die Seite Cloud Key Management Service auf.
Klicken Sie unter Schlüsselbunde auf den Schlüsselbund, der den CA-Signaturschlüssel enthält.
Klicken Sie auf den Schlüssel, bei dem es sich um den CA-Signaturschlüssel handelt.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.
Klicken Sie auf
Hauptkonto hinzufügen.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle Cloud KMS-Administrator aus.
Klicken Sie auf Speichern.
gcloud
gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEYRING --location=LOCATION \
--member=MEMBER \
--role=roles/cloudkms.admin
Ersetzen Sie Folgendes:
- KEY: die eindeutige Kennung des Schlüssels.
- KEYRING: der Schlüsselbund, der den Schlüssel enthält. Weitere Informationen zu Schlüsselbunden finden Sie unter Schlüsselbunde.
- MEMBER: Der Nutzer oder das Dienstkonto, dem Sie die IAM-Bindung hinzufügen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
Weitere Informationen zum Befehl gcloud kms keys add-iam-policy-binding
finden Sie unter gcloud kms keys add-iam-policy-binding.
Ressourcen prüfen
Ein CA Service Auditor (roles/privateca.auditor
) hat Lesezugriff auf alle Ressourcen in CA Service. Wenn sie für einen bestimmten Zertifizierungsstellenpool gewährt wird, gewährt sie Lesezugriff auf den Zertifizierungsstellenpool. Wenn sich der CA-Pool auf der Enterprise-Stufe befindet, kann der Nutzer mit dieser Rolle auch die von den CAs im CA-Pool ausgestellten Zertifikate und Zertifikatssperrlisten aufrufen. Weisen Sie diese Rolle Personen zu, die für die Validierung der Sicherheit und des Betriebs des Zertifizierungsstellenpools verantwortlich sind.
So weisen Sie einem Nutzer auf Projektebene die Rolle „CA Service Auditor“ (roles/privateca.auditor
) zu:
Console
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie das Projekt aus.
Klicken Sie auf
Zugriff erlauben.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Auditor aus.
Klicken Sie auf Speichern.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.auditor
Ersetzen Sie Folgendes:
- PROJECT_ID: die eindeutige Kennung des Projekts.
- MEMBER: die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service Auditor“ (
roles/privateca.auditor
) zuweisen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
IAM-Richtlinienbindungen auf Ressourcenebene konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie IAM-Richtlinienbindungen für eine bestimmte Ressource in CA Service konfigurieren können.
CA-Pools verwalten
Sie können die Rolle „CA Service Admin“ (roles/privateca.admin
) auf Ressourcenebene zuweisen, um einen bestimmten CA-Pool oder eine bestimmte Zertifikatsvorlage zu verwalten.
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab CA-Pool-Manager und wählen Sie den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.
Klicken Sie auf
Hauptkonto hinzufügen.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Admin aus.
Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Pool-Ressource gewährt.
gcloud
Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie festzulegen:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.admin
Ersetzen Sie Folgendes:
- POOL_ID: Die eindeutige ID des Zertifizierungsstellenpools, für den Sie die IAM-Richtlinie festlegen möchten.
- LOCATION: der Standort des Zertifizierungsstellenpools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: Der Nutzer oder das Dienstkonto, dem Sie die IAM-Rolle zuweisen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding
finden Sie unter gcloud privateca channels add-iam-policy-binding.
Führen Sie dieselben Schritte aus, um die Rolle CA Service Admin für eine Zertifikatsvorlage zuzuweisen.
Sie können auch die Rolle „CA Service Operation Manager“ (roles/privateca.caManager
) für einen bestimmten Zertifizierungsstellenpool zuweisen. Mit dieser Rolle kann der Aufrufer Zertifikate widerrufen, die von CAs in diesem CA-Pool ausgestellt wurden.
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab CA-Pool-Manager und wählen Sie den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.
Klicken Sie auf
Hauptkonto hinzufügen.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Operation Manager aus.
Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Pool-Ressource gewährt, zu der die Zertifizierungsstelle gehört.
gcloud
Führen Sie den folgenden gcloud
-Befehl aus, um die Rolle für einen bestimmten Zertifizierungsstellenpool zuzuweisen:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.caManager
Ersetzen Sie Folgendes:
- POOL_ID: die eindeutige Kennung des Zertifizierungsstellenpools.
- LOCATION: der Standort des Zertifizierungsstellenpools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service Operation Manager“ (
roles/privateca.caManager
) zuweisen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding
finden Sie unter gcloud privateca channels add-iam-policy-binding.
Zertifikate erstellen
Gewähren Sie Nutzern die Rolle „CA Service Certificate Manager“ (roles/privateca.certificateManager
), damit sie Anfragen zur Zertifikatsausstellung an einen CA-Pool senden können. Diese Rolle gewährt außerdem Lesezugriff auf CA Service-Ressourcen. Wenn Sie nur das Erstellen von Zertifikaten ohne Lesezugriff zulassen möchten, weisen Sie die Rolle „CA Service Certificate Requester“ (roles/privateca.certificateRequester
) zu. Weitere Informationen zu IAM-Rollen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
Gehen Sie wie im Folgenden beschrieben vor, um dem Nutzer Zugriff zum Erstellen von Zertifikaten für eine bestimmte Zertifizierungsstelle zu gewähren.
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf CA-Pool-Manager und wählen Sie den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.
Klicken Sie auf
Hauptkonto hinzufügen.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Certificate Manager aus.
Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Pool-Ressource gewährt, zu der die Zertifizierungsstelle gehört.
gcloud
gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
--location LOCATION \
--member MEMBER \
--role roles/privateca.certificateManager
Ersetzen Sie Folgendes:
- POOL_ID: die eindeutige Kennung des Zertifizierungsstellenpools.
- LOCATION: der Standort des Zertifizierungsstellenpools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: die eindeutige ID des Nutzers, dem Sie die Rolle des CA Service Certificate Manager (
roles/privateca.certificateManager
) zuweisen möchten.
Das Flag --role
verwendet die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.
IAM-Richtlinienbindungen zu einer Zertifikatsvorlage hinzufügen
So fügen Sie einer bestimmten Zertifikatsvorlage eine IAM-Richtlinie hinzu:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab Vorlagenmanager und wählen Sie die Zertifikatsvorlage aus, für die Sie Berechtigungen gewähren möchten.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.
Klicken Sie auf
Hauptkonto hinzufügen.Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder eine andere Kennung ein.
Wählen Sie aus der Drop-down-Liste Rolle auswählen eine Rolle aus, die Sie gewähren möchten.
Klicken Sie auf Speichern.
gcloud
gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ersetzen Sie Folgendes:
- LOCATION: der Speicherort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: Der Nutzer oder das Dienstkonto, dem Sie die IAM-Richtlinienbindung hinzufügen möchten.
- ROLE: die Rolle, die Sie dem Mitglied zuweisen möchten.
Weitere Informationen zum Befehl gcloud privateca templates add-iam-policy-binding
finden Sie unter gcloud privateca Vorlagen add-iam-policy-binding.
Weitere Informationen zum Ändern der IAM-Rolle eines Nutzers finden Sie unter Zugriff gewähren.
IAM-Richtlinienbindungen entfernen
Mit dem Befehl remove-iam-policy-binding
der Google Cloud CLI können Sie eine vorhandene IAM-Richtlinienbindung entfernen.
Verwenden Sie den folgenden gcloud
-Befehl, um eine IAM-Richtlinie für einen bestimmten CA-Pool zu entfernen:
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ersetzen Sie Folgendes:
- LOCATION: der Standort des Zertifizierungsstellenpools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: Der Nutzer oder das Dienstkonto, für das Sie die IAM-Richtlinienbindung entfernen möchten.
- ROLE: Die Rolle, die Sie für das Mitglied entfernen möchten.
Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding
finden Sie unter gcloud privatecapools remove-iam-policy-binding.
Verwenden Sie den folgenden gcloud
-Befehl, um eine IAM-Richtlinie für eine bestimmte Zertifikatsvorlage zu entfernen:
gcloud
gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ersetzen Sie Folgendes:
- LOCATION: der Speicherort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
- MEMBER: Der Nutzer oder das Dienstkonto, für das Sie die IAM-Richtlinienbindung entfernen möchten.
- ROLE: Die Rolle, die Sie für das Mitglied entfernen möchten.
Weitere Informationen zum Befehl gcloud privateca templates remove-iam-policy-binding
finden Sie unter gcloud privateca Vorlagen remove-iam-policy-binding.
Weitere Informationen zum Entfernen der IAM-Rolle eines Nutzers finden Sie unter Zugriff widerrufen.
Nächste Schritte
- Prüfen Sie die IAM-Rollen für CA Service und die zugehörigen Berechtigungen.
- Vorlagen und Ausstellungsrichtlinien
- Weitere Informationen zum Verwalten von Richtlinien