Policy

מדיניות של ניהול זהויות והרשאות גישה (IAM), שמציינת אמצעי בקרת גישה למשאבי Google Cloud.

Policy הוא אוסף של bindings. binding מקשר members אחד או יותר, או חשבונות משתמשים, ל-role יחיד. חשבונות משתמשים, חשבונות שירות, קבוצות Google ודומיינים (כמו G Suite) יכולים לשמש כחשבונות משתמשים. role היא רשימת הרשאות בעלת שם. כל role יכול להיות תפקיד מוגדר מראש ב-IAM או תפקיד בהתאמה אישית שנוצר על ידי משתמש.

בחלק מסוגי המשאבים ב-Google Cloud, אפשר לציין ב-binding גם condition, שהוא ביטוי לוגי שמאפשר גישה למשאב רק אם הערך של הביטוי הוא true. תנאי יכול להוסיף אילוצים על סמך מאפיינים של הבקשה, של המשאב או של שניהם. במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.

דוגמה ל-JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

דוגמה ל-YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

תיאור של IAM והמאפיינים שלו זמין במסמכי העזרה של IAM.

ייצוג ב-JSON 
{
  "version": integer,
  "bindings": [
    {
      object (Binding)
    }
  ],
  "auditConfigs": [
    {
      object (AuditConfig)
    }
  ],
  "etag": string
}
שדות
version

integer

מציין את הפורמט של המדיניות.

הערכים החוקיים הם 0,‏ 1 ו-3. בקשות עם ערך לא חוקי יידחו.

כל פעולה שמשפיעה על קישורי תפקידים מותנים חייבת לציין את הגרסה 3. הדרישה הזו חלה על הפעולות הבאות:

  • אחזור מדיניות שכוללת קישור תפקיד מותנה
  • הוספה של קישור תפקיד מותנה למדיניות
  • שינוי של קישור תפקיד מותנה במדיניות
  • הסרה של קישור תפקיד, עם או בלי תנאי, ממדיניות שכוללת תנאים

חשוב: אם משתמשים בתנאים של IAM, צריך לכלול את השדה etag בכל קריאה ל-setIamPolicy. אם משמיטים את השדה הזה, IAM מאפשר להחליף את מדיניות הגרסה 3 במדיניות הגרסה 1, וכל התנאים במדיניות הגרסה 3 אבדו.

אם מדיניות לא כוללת תנאים, אפשר לציין כל גרסה תקינה בפעולות על המדיניות הזו או להשאיר את השדה ללא הגדרה.

במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.
bindings[]

object (Binding)

שיוך של רשימת members, או חשבונות משתמשים, ל-role. אפשר גם לציין condition שקובע איך ומתי ה-bindings יחולו. כל אחד מה-bindings חייב להכיל לפחות חשבון משתמש אחד.

השדה bindings ב-Policy יכול להפנות עד 1,500 חשבונות משתמשים, ועד 250 מחשבונות המשתמשים האלה יכולים להיות קבוצות Google. כל מופע של חשבון משתמש נספר במגבלות האלה. לדוגמה, אם ה-bindings מקצים 50 תפקידים שונים ל-user:alice@example.com, ולא לחשבון משתמש אחר, תוכלו להוסיף עוד 1,450 חשבונות משתמשים ל-bindings ב-Policy.
auditConfigs[]

object (AuditConfig)

הגדרת רישום ביומני ביקורת בענן עבור המדיניות הזו.
etag

string (bytes format)

השדה etag משמש לבקרת בו-זמניות אופטימיסטית, כדי למנוע מצב שבו עדכונים בו-זמניים של מדיניות יחליפו אחד את השני. מומלץ מאוד שהמערכות ישתמשו ב-etag במחזור הקריאה-שינוי-כתיבה כדי לבצע עדכוני מדיניות, כדי למנוע תנאי תחרות: etag מוחזר בתגובה ל-getIamPolicy, והמערכות אמורות להוסיף את תג ה-etag הזה לבקשה ל-setIamPolicy כדי לוודא שהשינוי שלהן יחול על אותה גרסת המדיניות.

חשוב: אם משתמשים בתנאים של IAM, צריך לכלול את השדה etag בכל קריאה ל-setIamPolicy. אם משמיטים את השדה הזה, IAM מאפשר להחליף את מדיניות הגרסה 3 במדיניות הגרסה 1, וכל התנאים במדיניות הגרסה 3 אבדו.

מחרוזת בקידוד Base64.

קישור

משייך members, או חשבונות משתמשים, ל-role.

ייצוג ב-JSON 
{
  "role": string,
  "members": [
    string
  ],
  "condition": {
    object (Expr)
  }
}
שדות
role

string

התפקיד שהוקצה לרשימת members, או לחשבונות המשתמשים. לדוגמה, roles/viewer, roles/editor או roles/owner.

סקירה כללית על התפקידים וההרשאות ב-IAM מופיעה במסמכי העזרה של IAM. כאן תוכלו למצוא רשימה של התפקידים המוגדרים מראש שזמינים.
members[]

string

חשבונות המשתמשים שמבקשים גישה למשאב ב-Google Cloud. ‫members יכול לקבל את הערכים הבאים:

  • allUsers: מזהה מיוחד שמייצג את כל מי שמשתמש באינטרנט, עם או בלי חשבון Google.

  • allAuthenticatedUsers: מזהה מיוחד שמייצג כל מי שאומת באמצעות חשבון Google או חשבון שירות. לא כולל זהויות שמגיעות מספקי זהויות חיצוניים (IdPs) דרך איחוד שירותי אימות הזהות.

  • user:{emailid}: כתובת אימייל שמייצגת חשבון Google ספציפי. לדוגמה, alice@example.com .

  • serviceAccount:{emailid}: כתובת אימייל שמייצגת חשבון שירות של Google. לדוגמה, my-other-app@appspot.gserviceaccount.com.

  • serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: מזהה של חשבון שירות ב-Kubernetes. לדוגמה, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].

  • group:{emailid}: כתובת אימייל שמייצגת קבוצה ב-Google. לדוגמה, admins@example.com.

  • domain:{domain}: דומיין G Suite (ראשי) שמייצג את כל המשתמשים בדומיין הזה. לדוגמה, google.com או example.com.

  • principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: זהות יחידה במאגר זהויות של כוח עבודה.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}: כל הזהויות של כוח העבודה בקבוצה.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: כל הזהויות במאגר זהויות של כוח עבודה.

  • principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: זהות אחת במאגר זהויות של כוח עבודה.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}: קבוצה במאגר הזהויות של כוח העבודה.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: כל הזהויות במאגר זהויות של כוח עבודה עם מאפיין מסוים.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/*: כל הזהויות במאגר הזהויות של כוח העבודה.

  • deleted:user:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת משתמש שנמחק לאחרונה. לדוגמה, alice@example.com?uid=123456789012345678901. אם המשתמש יתאושש, הערך הזה יחזור ל-user:{emailid} והמשתמש שחזר ישמור על התפקיד בקישור.

  • deleted:serviceAccount:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת חשבון שירות שנמחק לאחרונה. לדוגמה, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. אם מבטלים את המחיקה של חשבון השירות, הערך הזה חוזר לערך serviceAccount:{emailid} וחשבון השירות שלא נמחק שומר על התפקיד בקישור.

  • deleted:group:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת קבוצת Google שנמחקה לאחרונה. לדוגמה, admins@example.com?uid=123456789012345678901. אם הקבוצה תתאושש, הערך הזה יחזור ל-group:{emailid} והקבוצה המשוחזרת תמשיך לשמור על התפקיד שלה בקישור.

  • deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: זהות יחידה שנמחקה במאגר זהויות של כוח עבודה. לדוגמה, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.
condition

object (Expr)

התנאי שמשויך לקישור הזה.

אם התנאי מקבל את הערך true, הקישור הזה חל על הבקשה הנוכחית.

אם התנאי מקבל את הערך false, הקישור הזה לא חל על הבקשה הנוכחית. עם זאת, קישור תפקידים אחר עשוי להקצות את אותו תפקיד לחשבון משתמש אחד או יותר בקישור הזה.

במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.

Expr

מייצג ביטוי טקסטואלי בסינטקס של Common Expression Language ‏ (CEL). CEL היא שפת ביטויים שדומה ל-C. התחביר והסמנטיקה של CEL מתועדים בכתובת https://github.com/google/cel-spec.

דוגמה (השוואה):

title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"

דוגמה (שוויון):

title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"

דוגמה (לוגיקה):

title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"

דוגמה (מניפולציה של נתונים):

title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"

המשתנים והפונקציות הספציפיים שאפשר להפנות אליהם בתוך ביטוי נקבעים על ידי השירות שמעריך אותו. מידע נוסף זמין במסמכי התיעוד של השירות.

ייצוג ב-JSON 
{
  "expression": string,
  "title": string,
  "description": string,
  "location": string
}
שדות
expression

string

ייצוג טקסטואלי של ביטוי בתחביר של Common Expression Language.
title

string

זה שינוי אופציונלי. כותרת לביטוי, כלומר מחרוזת קצרה שמתארת את המטרה שלו. אפשר להשתמש באפשרות הזו, למשל, בממשקי משתמש שמאפשרים להזין את הביטוי.
description

string

זה שינוי אופציונלי. תיאור הביטוי. זהו טקסט ארוך יותר שמתאר את הביטוי, למשל כשמעבירים מעליו את העכבר בממשק המשתמש.
location

string

זה שינוי אופציונלי. מחרוזת שמציינת את המיקום של הביטוי לדיווח על שגיאות, למשל שם קובץ ומיקום בקובץ.

AuditConfig

הגדרת הביקורת של שירות. ההגדרה קובעת אילו סוגי הרשאות יירשמו ביומן, ואילו זהויות, אם בכלל, פטורות מהרשמה ביומן. אובייקט AuditConfig חייב לכלול לפחות אובייקט AuditLogConfig אחד.

אם יש הגדרות AuditConfig גם ל-allServices וגם לשירות ספציפי, האיחוד של שתי הגדרות AuditConfig ישמש את השירות הזה: סוגי היומנים (log_types) שצוינו בכל הגדרת AuditConfig יופעלו, והחברי-הקבוצה שמוגדרים כפטורים (exemptedMembers) בכל הגדרת AuditLogConfig יהיו פטורים.

דוגמה למדיניות עם כמה AuditConfigs:

{
  "auditConfigs": [
    {
      "service": "allServices",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ",
          "exemptedMembers": [
            "user:jose@example.com"
          ]
        },
        {
          "logType": "DATA_WRITE"
        },
        {
          "logType": "ADMIN_READ"
        }
      ]
    },
    {
      "service": "sampleservice.googleapis.com",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ"
        },
        {
          "logType": "DATA_WRITE",
          "exemptedMembers": [
            "user:aliya@example.com"
          ]
        }
      ]
    }
  ]
}

ב-sampleservice, המדיניות הזו מפעילה את הרישום ביומן של DATA_READ, ‏ DATA_WRITE ו-ADMIN_READ. הוא גם פטורה את jose@example.com מרישום ביומן של DATA_READ ואת aliya@example.com מרישום ביומן של DATA_WRITE.

ייצוג ב-JSON 
{
  "service": string,
  "auditLogConfigs": [
    {
      object (AuditLogConfig)
    }
  ]
}
שדות
service

string

שירות שיופעל עבור רישום ביומן ביקורת. לדוגמה, storage.googleapis.com, ‏ cloudsql.googleapis.com. הערך allServices הוא ערך מיוחד שכולל את כל השירותים.
auditLogConfigs[]

object (AuditLogConfig)

ההגדרה של הרישום ביומן לכל סוג הרשאה.

AuditLogConfig

ההגדרה של רישום ביומן של סוג הרשאה. דוגמה:

{
  "auditLogConfigs": [
    {
      "logType": "DATA_READ",
      "exemptedMembers": [
        "user:jose@example.com"
      ]
    },
    {
      "logType": "DATA_WRITE"
    }
  ]
}

כך מפעילים את הרישום ביומן של 'DATA_READ' ושל 'DATA_WRITE', תוך החרגה של jose@example.com מהרישום ביומן של DATA_READ.

ייצוג ב-JSON 
{
  "logType": enum (LogType),
  "exemptedMembers": [
    string
  ]
}
שדות
logType

enum (LogType)

סוג היומן שההגדרה הזו מפעילה.
exemptedMembers[]

string

זהו הערך שמציין את הזהויות שלא גורמות לרישום ביומן עבור סוג ההרשאה הזה. לפי אותו פורמט של Binding.members.

LogType

רשימת סוגי ההרשאות התקפים שאפשר להגדיר עבורם רישום ביומן. פעולות כתיבה של אדמינים תמיד מתועדות ביומן, ואי אפשר להגדיר אותן.

טיפוסים בני מנייה (enum)
LOG_TYPE_UNSPECIFIED תרחישים ברירת מחדל. הערך הזה אף פעם לא אמור להופיע.
ADMIN_READ האדמין קורא. דוגמה: CloudIAM getIamPolicy
DATA_WRITE כתיבת נתונים. דוגמה: CloudSQL Users create
DATA_READ קריאת נתונים. דוגמה: רשימת המשתמשים ב-CloudSQL