Auf dieser Seite wird erläutert, wie Sie die Zugriffsgrenzen für Anmeldedaten herabstufen oder die Berechtigungen der Identitäts- und Zugriffsverwaltung (IAM) einschränken, die von kurzlebigen Anmeldedaten verwendet werden können.
Sie können mit Zugriffsbeschränkungen für Anmeldedaten OAuth 2.0-Zugriffstoken generieren, die ein Dienstkonto darstellen, aber weniger Berechtigungen als das Dienstkonto haben. Wenn einer Ihrer Kunden beispielsweise auf von Ihnen kontrollierte Cloud Storage-Daten zugreifen muss, können Sie so vorgehen:
- Erstellen Sie ein Dienstkonto, das auf jeden Ihrer Cloud Storage-Buckets zugreifen kann.
- Generieren Sie ein OAuth 2.0-Zugriffstoken für das Dienstkonto.
- Wenden Sie eine Zugriffsbeschränkung für Anmeldedaten an, die nur den Zugriff auf den Bucket zulässt, der die Daten Ihres Kunden enthält.
Funktionsweise der Anmeldedaten-Zugriffsgrenzen
Damit Sie Berechtigungen herabstufen können, definieren Sie eine Zugriffsgrenze für Anmeldedaten, die angibt, auf welche Ressourcen die kurzlebigen Anmeldedaten zugreifen können, sowie eine Obergrenze für die Berechtigungen, die für jede Ressource verfügbar sind. Anschließend können Sie kurzlebige Anmeldedaten erstellen und diese dann gegen eine neue Anmeldedatenquelle eintauschen, die die Zugriffsgrenze für Anmeldedaten einhält.
Wenn Sie Hauptkonten für jede Sitzung einen eigenen Berechtigungssatz zuweisen müssen, ist die Verwendung von Zugriffsgrenzen für Anmeldedaten effizienter als die Erstellung vieler verschiedener Dienstkonten und die Zuweisung unterschiedlicher Rollen für jedes Dienstkonto.
Beispiele für Anmeldedaten-Zugriffsgrenzen
In den folgenden Abschnitten werden Beispiele für Anmeldedaten-Zugriffsgrenzen für gängige Anwendungsfälle aufgeführt. Sie verwenden die Zugriffsgrenze für Anmeldedaten, wenn Sie ein OAuth 2.0-Zugriffstoken gegen ein herabgestuftes Token austauschen.
Berechtigungen für einen Bucket einschränken
Das folgende Beispiel zeigt eine einfache Zugriffsgrenze für Anmeldedaten. Sie gilt für den Cloud Storage-Bucket example-bucket
und legt die Obergrenze für die Berechtigungen fest, die in der Rolle "Storage Object-Betrachter" (roles/storage.objectViewer
) enthalten sind:
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
Berechtigungen für mehrere Buckets einschränken
Das folgende Beispiel zeigt eine Zugriffsgrenze für Anmeldedaten mit Regeln für mehrere Buckets:
- Der Cloud Storage-Bucket
example-bucket-1
: Für diesen Bucket sind nur die Berechtigungen in der Rolle "Storage-Objekt-Betrachter" (roles/storage.objectViewer
) verfügbar. - Der Cloud Storage-Bucket
example-bucket-2
: Für diesen Bucket sind nur die Berechtigungen der Rolle "Storage-Objekt-Ersteller" (roles/storage.objectCreator
) verfügbar.
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
Berechtigungen für bestimmte Objekte einschränken
Sie können auch IAM Conditions verwenden, um zu bestimmen, auf welche Cloud Storage-Objekte ein Hauptkonto zugreifen kann. Sie können beispielsweise eine Bedingung hinzufügen, die die Berechtigungen für Objekte verfügbar macht, deren Name mit customer-a
beginnt:
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
Berechtigungen beim Auflisten von Objekten einschränken
Wenn Sie die Objekte in einem Cloud Storage-Bucket auflisten, rufen Sie eine Methode für eine Bucket-Ressource auf und keine Objektressource. Wenn eine Bedingung für eine Listenanfrage ausgewertet wird und die Bedingung auf den Ressourcennamen verweist, gibt der Ressourcenname den Bucket und kein Objekt innerhalb des Buckets an. Wenn Sie beispielsweise Objekte in example-bucket
auflisten, lautet der Ressourcenname projects/_/buckets/example-bucket
.
Diese Namenskonvention kann beim Auflisten von Objekten zu unerwartetem Verhalten führen.
Angenommen, Sie möchten eine Zugriffsgrenze für Anmeldedaten, die den Lesezugriff auf Objekte in example-bucket
mit dem Präfix customer-a/invoices/
ermöglicht.
Sie können versuchen, die folgende Bedingung in der Zugriffsgrenze für Anmeldedaten zu verwenden:
Unvollständig: Bedingung, die nur den Ressourcennamen überprüft
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
Diese Bedingung funktioniert zum Lesen von Objekten, nicht jedoch zum Auflisten von Objekten:
- Wenn ein Hauptkonto versucht, ein Objekt in
example-bucket
mit dem Präfixcustomer-a/invoices/
zu lesen, wird die Bedingung alstrue
ausgewertet. - Wenn ein Hauptkonto versucht, Objekte mit diesem Präfix aufzulisten, wird die Bedingung als
false
ausgewertet. Der Wert vonresource.name
istprojects/_/buckets/example-bucket
, der nicht mitprojects/_/buckets/example-bucket/objects/customer-a/invoices/
beginnt.
Zur Vermeidung dieses Problems kann die Bedingung nicht nur resource.name.startsWith()
, sondern auch ein API-Attribut namens storage.googleapis.com/objectListPrefix
prüfen. Dieses Attribut enthält den Wert des Parameters prefix
, der zum Filtern der Liste der Objekte verwendet wurde. Daher können Sie eine Bedingung schreiben, die auf den Wert des Parameters prefix
verweist.
Das folgende Beispiel zeigt, wie das API-Attribut in einer Bedingung verwendet wird. Sie ermöglicht das Lesen und Auflisten von Objekten in example-bucket
mit dem Präfix customer-a/invoices/
:
Vollständig: Bedingung, die den Ressourcennamen und das Präfix prüft
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '') .startsWith('customer-a/invoices/')
Sie können diese Bedingung nun in einer Zugriffsgrenze für Anmeldedaten verwenden:
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
Hinweis
Achten Sie vor der Verwendung einer Zugriffsgrenze für Anmeldedaten darauf, dass Sie diese Anforderungen erfüllen:
Sie müssen die Berechtigungen nur für Cloud Storage herabstufen, nicht für andere Google Cloud-Dienste.
Wenn Sie Berechtigungen für zusätzliche Google Cloud-Dienste herabstufen müssen, können Sie mehrere Dienstkonten erstellen und jedem Dienstkonto einen anderen Rollensatz zuweisen.
Sie können OAuth 2.0-Zugriffstokens zur Authentifizierung verwenden. Andere Arten von kurzlebigen Anmeldedaten unterstützen keine Zugriffsgrenzen für Anmeldedaten.
Außerdem müssen Sie die erforderlichen APIs aktivieren:
-
Enable the IAM and Security Token Service APIs.
Herabgestufte, kurzlebige Anmeldedaten erstellen
So erstellen Sie ein OAuth 2.0-Zugriffstoken mit herabgestuften Berechtigungen:
- Weisen Sie die entsprechenden IAM-Rollen einem Nutzer- oder Dienstkonto zu.
- Definieren Sie eine Zugriffsgrenze für Anmeldedaten, die eine Obergrenze für die Berechtigungen festlegt, die dem Nutzer oder Dienstkonto zur Verfügung stehen.
- Erstellen Sie ein OAuth 2.0-Zugriffstoken für das Nutzer- oder Dienstkonto.
- Tauschen Sie das OAuth 2.0-Zugriffstoken gegen ein neues Token aus, das die Zugriffsgrenze für Anmeldedaten berücksichtigt.
Sie können dann mit dem neuen herabgestuften OAuth 2.0-Zugriffstoken Anfragen an Cloud Storage authentifizieren.
IAM-Rollen zuweisen
Eine Zugriffsgrenze für Anmeldedaten legt eine Obergrenze für die verfügbaren Berechtigungen für eine Ressource fest. Es kann Berechtigungen von einem Hauptkonto eingrenzen, aber es kann keine Berechtigungen hinzufügen, die das Hauptkonto nicht bereits hat.
Daher müssen Sie dem Hauptkonto auch Rollen zuweisen, die die benötigten Berechtigungen bereitstellen, entweder in einem Cloud Storage-Bucket oder auf einer übergeordneten Ressource wie dem Projekt.
Nehmen wir beispielsweise an, Sie möchten herabgestufte, kurzlebige Anmeldedaten erstellen, mit denen ein Dienstkonto Objekte in einem Bucket erstellen kann:
- Sie müssen dem Dienstkonto eine Rolle mit der Berechtigung
storage.objects.create
zuweisen, beispielsweise die Rolle "Storage Object-Ersteller" (roles/storage.objectCreator
). Die Zugriffsgrenze für Anmeldedaten muss diese Berechtigung ebenfalls enthalten. - Sie können auch eine Rolle zuweisen, die mehr Berechtigungen enthält, beispielsweise die Rolle „Storage Object-Administrator“ (
roles/storage.objectAdmin
). Das Dienstkonto kann nur die Berechtigungen verwenden, die sowohl in der Rollenzuweisung als auch in der Zugriffsgrenze für Anmeldedaten angezeigt werden.
Informationen zu vordefinierten Rollen für Cloud Storage finden Sie unter Cloud Storage-Rollen.
Komponenten einer Zugriffsgrenze für Anmeldedaten
Eine Zugriffsgrenze für Anmeldedaten ist ein Objekt, das eine Liste von Zugriffsbegrenzungsregeln enthält. Jede Regel enthält diese Informationen:
- Die Ressource, für die die Regel gilt.
- Die Obergrenze der Berechtigungen, die für diese Ressource verfügbar ist.
- Optional: Eine Bedingung, die Berechtigungen weiter einschränkt. Eine Bedingung umfasst Folgendes:
- Ein Bedingungsausdruck, der zu
true
oderfalse
ausgewertet wird. Wenn der Werttrue
ergibt, wird der Zugriff zugelassen. Andernfalls wird der Zugriff verweigert. - Optional: Ein Titel zum Identifizieren der Bedingung.
- Optional: Eine Beschreibung mit weiteren Informationen zur Bedingung.
- Ein Bedingungsausdruck, der zu
Wenn Sie eine Zugriffsgrenze für Anmeldedaten auf kurzlebige Anmeldedaten anwenden, können die Anmeldedaten nur auf die Ressourcen innerhalb der Zugriffsgrenze für Anmeldedaten zugreifen. Für andere Ressourcen sind keine Berechtigungen verfügbar.
Eine Zugriffsgrenze für Anmeldedaten kann bis zu zehn Regeln zur Zugriffsgrenze enthalten. Sie können jeweils nur eine Zugriffsgrenze für Anmeldedaten auf alle kurzlebigen Anmeldedaten anwenden.
Bei der Darstellung als JSON-Objekt enthält eine Zugriffsgrenze für Anmeldedaten die folgenden Felder:
Felder | |
---|---|
accessBoundary |
Ein Wrapper für die Zugriffsgrenze für Anmeldedaten. |
accessBoundary.accessBoundaryRules[] |
Eine Liste mit Zugriffsgrenzen, die auf kurzlebige Anmeldedaten angewendet werden. |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
Eine Liste, die die Obergrenze der verfügbaren Berechtigungen für die Ressource definiert.
Jeder Wert ist die Kennung für eine vordefinierte IAM-Rolle oder für eine benutzerdefinierte Rolle mit dem Präfix |
accessBoundary.accessBoundaryRules[].availableResource |
Der vollständige Ressourcenname des Cloud Storage-Buckets, für den die Regel gilt. Verwenden Sie das Format |
accessBoundary.accessBoundaryRules[].availabilityCondition |
Optional: Eine Bedingung, die die Verfügbarkeit von Berechtigungen auf bestimmte Cloud Storage-Objekte beschränkt. Verwenden Sie dieses Feld, wenn Sie Berechtigungen für bestimmte Objekte und nicht für alle Objekte in einem Cloud Storage-Bucket erteilen möchten. |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
Ein Bedingungsausdruck, der die Cloud Storage-Objekte angibt, in denen Berechtigungen verfügbar sind. Informationen zum Verweisen auf bestimmte Objekte in einem Bedingungsausdruck finden Sie unter Attribut |
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
Optional: Ein kurzer String, der den Zweck der Bedingung angibt. |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
Optional: Details zum Zweck der Bedingung. |
Beispiele im JSON-Format finden Sie auf dieser Seite unter Beispiele für Zugriffsgrenzen für Anmeldedaten.
OAuth-2.0-Zugriffstoken erstellen
Bevor Sie herabgestufte, kurzlebige Anmeldedaten erstellen, müssen Sie ein normales OAuth 2.0-Zugriffstoken erstellen. Sie können dann die normalen Anmeldedaten gegen herabgestufte der Anmeldedaten austauschen. Verwenden Sie beim Erstellen des Zugriffstokens den OAuth 2.0-Bereich https://www.googleapis.com/auth/cloud-platform
.
Zum Erstellen eines Zugriffstokens für ein Dienstkonto schließen Sie den OAuth 2.0-Ablauf von Server zu Server ab. Sie können auch die Service Account Credentials API zum Erstellen eines OAuth 2.0-Zugriffstokens verwenden.
Weitere Informationen zum Erstellen eines Zugriffstokens für einen Nutzer finden Sie unter OAuth 2.0-Zugriffstokens abrufen. Sie können auch mit OAuth 2.0 Playground ein Zugriffstoken für Ihr eigenes Google-Konto erstellen.
OAuth-2.0-Zugriffstoken austauschen
Nachdem Sie ein OAuth-2.0-Zugriffstoken erstellt haben, können Sie das Zugriffstoken gegen ein neues Token austauschen, das die Zugriffsgrenze für Anmeldedaten berücksichtigt. Dieser Vorgang umfasst in der Regel einen Token-Broker und einen Token-Nutzer:
Der Token-Broker ist für die Definition der Zugriffsgrenze für Anmeldedaten und den Austausch eines Zugriffstokens gegen ein herabgestuftes Token verantwortlich.
Der Token-Broker kann eine unterstützte Authentifizierungsbibliothek verwenden, um Zugriffstokens automatisch auszutauschen. Er kann auch den Security Token Service aufrufen, um Tokens manuell auszutauschen.
Der Token-Nutzer fordert ein herabgestuftes Zugriffstoken vom Token-Broker an und verwendet dann das herabgestufte Zugriffstoken, um eine weitere Aktion auszuführen.
Der Token-Nutzer kann eine unterstützte Authentifizierungsbibliothek verwenden, um Zugriffstokens automatisch zu aktualisieren, bevor sie ablaufen. Alternativ können er Tokens manuell aktualisieren oder Tokens ablaufen lassen, ohne sie zu aktualisieren.
Zugriffstoken automatisch austauschen und aktualisieren
Wenn Sie den Token-Broker und den Token-Nutzer mit einer der folgenden Sprachen erstellen, können Sie Tokens mithilfe der Authentifizierungsbibliothek von Google automatisch austauschen und aktualisieren:
Go
Bei Go können Sie Tokens mit Version v0.0.0-20210819190943-2bc19b11175f oder höher automatisch dem Versionspaket golang.org/x/oauth2
austauschen und aktualisieren.
Führen Sie den folgenden Befehl in Ihrem Anwendungsverzeichnis aus, um zu prüfen, welche Version dieses Pakets Sie verwenden:
go list -m golang.org/x/oauth2
Das folgende Beispiel zeigt, wie ein Token-Broker herabgestufte Tokens generieren kann:
Das folgende Beispiel zeigt, wie ein Token-Nutzer einen Aktualisierungs-Handler verwenden kann, um herabgestufte Tokens automatisch abzurufen und zu aktualisieren:
Java
Bei Java können Sie Tokens automatisch mit Version 1.1.0 oder höher des com.google.auth:google-auth-library-oauth2-http
-Artefakts austauschen und aktualisieren.
Führen Sie den folgenden Maven-Befehl in Ihrem Anwendungsverzeichnis aus, um zu prüfen, welche Version dieses Artefakts Sie verwenden:
mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
Das folgende Beispiel zeigt, wie ein Token-Broker herabgestufte Tokens generieren kann:
Das folgende Beispiel zeigt, wie ein Token-Nutzer einen Aktualisierungs-Handler verwenden kann, um herabgestufte Tokens automatisch abzurufen und zu aktualisieren:
Node.js
Bei Node.js können Sie Tokens mit Version 7.9.0 oder höher des google-auth-library
-Pakets automatisch austauschen und aktualisieren.
Führen Sie den folgenden Befehl in Ihrem Anwendungsverzeichnis aus, um zu prüfen, welche Version dieses Pakets Sie verwenden:
npm list google-auth-library
Das folgende Beispiel zeigt, wie ein Token-Broker herabgestufte Tokens generieren kann:
Das folgende Beispiel zeigt, wie ein Token-Nutzer einen Aktualisierungs-Handler bereitstellen kann, der herabgestufte Tokens automatisch abruft und aktualisiert:
Python
Bei Python können Sie Tokens mit Version 2.0.0 oder höher des google-auth
-Pakets automatisch austauschen und aktualisieren.
Führen Sie den folgenden Befehl in der Umgebung aus, in der das Paket installiert ist, um zu prüfen, welche Version dieses Pakets Sie verwenden:
pip show google-auth
Das folgende Beispiel zeigt, wie ein Token-Broker herabgestufte Tokens generieren kann:
Das folgende Beispiel zeigt, wie ein Token-Nutzer einen Aktualisierungs-Handler bereitstellen kann, der herabgestufte Tokens automatisch abruft und aktualisiert:
Zugriffstoken manuell austauschen und aktualisieren
Ein Token-Broker kann die Security Token Service API verwenden, um ein Zugriffstoken gegen ein herabgestuftes Zugriffstoken auszutauschen. Es kann dann das herabgestufte Token einem Token-Nutzer bereitstellen.
Tauschen Sie das Zugriffstoken mit dieser HTTP-Methode und URL aus:
POST https://sts.googleapis.com/v1/token
Setzen Sie den Header Content-Type
in der Anfrage auf application/x-www-form-urlencoded
. Fügen Sie im Anfragetext diese Felder ein:
Felder | |
---|---|
grant_type |
Verwenden Sie den Wert |
options |
Eine Zugriffsgrenze für Anmeldedaten im JSON-Format, die mit Prozentcodierung codiert ist. |
requested_token_type |
Verwenden Sie den Wert |
subject_token |
Das OAuth 2.0-Zugriffstoken, das Sie austauschen möchten. |
subject_token_type |
Verwenden Sie den Wert |
Die Antwort ist ein JSON-Objekt mit diesen Feldern:
Felder | |
---|---|
access_token |
Ein herabgestuftes OAuth 2.0-Zugriffstoken, das die Zugriffsgrenze für Anmeldedaten berücksichtigt. |
expires_in |
Die Zeit in Sekunden, bis das herabgestufte Zugriffstoken abläuft. Dieses Feld ist nur vorhanden, wenn das ursprüngliche Zugriffstoken ein Dienstkonto darstellt. Wenn dieses Feld nicht vorhanden ist, läuft das herabgestufte Zugriffstoken genauso lange ab wie das ursprüngliche Zugriffstoken. |
issued_token_type |
Enthält den Wert |
token_type |
Enthält den Wert |
Wenn beispielsweise eine Zugriffsgrenze für Anmeldedaten im JSON-Format in der Datei ./access-boundary.json
gespeichert ist, können Sie mit diesem curl
-Befehl das Zugriffstoken austauschen. Ersetzen Sie original-token
durch das ursprüngliche Zugriffstoken:
curl -H "Content-Type:application/x-www-form-urlencoded" \ -X POST \ https://sts.googleapis.com/v1/token \ -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \ --data-urlencode "options=$(cat ./access-boundary.json)"
Die Antwort ähnelt diesem Beispiel:
{
"access_token": "ya29.dr.AbCDeFg-123456...",
"issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
"token_type": "Bearer",
"expires_in": 3600
}
Wenn ein Token-Nutzer ein herabgestuftes Token anfordert, sollte der Token-Broker sowohl mit dem herabgestuften Token als auch mit der Anzahl der Sekunden bis zum Ablauf antworten. Zum Aktualisieren des herabgestuften Tokens kann der Nutzer ein herabgestuftes Token vom Broker anfordern, bevor das vorhandene Token abläuft.
Nächste Schritte
- Zugriffssteuerung für Cloud Storage.
- Dienstkonto mit kurzlebigen Anmeldedaten erstellen.
- OAuth 2.0-Zugriffstoken für ein Dienstkonto mit dem OAuth 2.0-Ablauf von Server zu Server oder der Service Account Credentials API erstellen.
- OAuth 2.0-Zugriffstoken für einen Nutzer erstellen.
- Siehe Berechtigungen in jeder vordefinierten Rolle.
- Benutzerdefinierte Rollen.