Mit Anmeldedaten-Zugriffsgrenzen herabstufen

Auf dieser Seite wird erläutert, wie Sie die Zugriffsgrenzen für Anmeldedaten herabstufen oder die Berechtigungen der Identitäts- und Zugriffsverwaltung (IAM) einschränken, die von kurzlebigen Anmeldedaten verwendet werden können.

Damit Sie Berechtigungen herabstufen können, definieren Sie eine Zugriffsgrenze für Anmeldedaten, die angibt, auf welche Ressourcen die kurzlebigen Anmeldedaten zugreifen können, sowie eine Obergrenze für die Berechtigungen, die für jede Ressource verfügbar sind. Anschließend können Sie kurzlebige Anmeldedaten erstellen und diese dann gegen eine neue Anmeldedatenquelle eintauschen, die die Zugriffsgrenze für Anmeldedaten einhält.

Das folgende Beispiel zeigt eine einfache Zugriffsgrenze für Anmeldedaten. Sie gilt für den Cloud Storage-Bucket example-bucket und legt die Obergrenze für die Berechtigungen fest, die in der Rolle "Storage Object-Betrachter" (roles/storage.objectViewer) enthalten sind:

{
  "accessBoundaryRules": [
    {
      "availablePermissions": [
        "inRole:roles/storage.objectViewer"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
    }
  ]
}

Wenn Sie Mitgliedern für jede Sitzung einen eigenen Berechtigungssatz zuweisen müssen, ist die Verwendung von Zugriffsgrenzen für Anmeldedaten effizienter als die Erstellung vieler verschiedener Dienstkonten und die Zuweisung unterschiedlicher Rollen für jedes Dienstkonto. Wenn einer Ihrer Kunden beispielsweise auf von Ihnen kontrollierte Cloud Storage-Daten zugreifen muss, können Sie ein Dienstkonto erstellen, das auf jeden der Cloud Storage-Buckets zugreifen kann. Dann können Sie eine Zugriffsgrenze für Anmeldedaten anwenden, die nur den Zugriff auf den Bucket mit den Daten Ihres Kunden zulässt.

Hinweis

Achten Sie vor der Verwendung einer Zugriffsgrenze für Anmeldedaten darauf, dass Sie diese Anforderungen erfüllen:

  • Sie müssen die Berechtigungen nur für Cloud Storage herabstufen, nicht für andere Google Cloud-Dienste.

    Wenn Sie Berechtigungen für zusätzliche Google Cloud-Dienste herabstufen müssen, können Sie mehrere Dienstkonten erstellen und jedem Dienstkonto einen anderen Rollensatz zuweisen.

  • Sie müssen die Berechtigungen auf Bucket-Ebene herabstufen, nicht auf Objektebene.

  • Sie verwenden den einheitlichen Zugriff auf Bucket-Ebene, um den Zugriff auf Ihre Cloud Storage-Ressourcen zu verwalten.

  • Sie können OAuth 2.0-Zugriffstokens zur Authentifizierung verwenden. Andere Arten von kurzlebigen Anmeldedaten unterstützen keine Zugriffsgrenzen für Anmeldedaten.

Herabgestufte, kurzlebige Anmeldedaten erstellen

So erstellen Sie ein OAuth 2.0-Zugriffstoken mit herabgestuften Berechtigungen:

  1. Weisen Sie die entsprechenden IAM-Rollen einem Nutzer- oder Dienstkonto zu.
  2. Definieren Sie eine Zugriffsgrenze für Anmeldedaten, die eine Obergrenze für die Berechtigungen festlegt, die dem Nutzer oder Dienstkonto zur Verfügung stehen.
  3. Erstellen Sie ein OAuth 2.0-Zugriffstoken für das Nutzer- oder Dienstkonto.
  4. Tauschen Sie das OAuth 2.0-Zugriffstoken gegen ein neues Token aus, das die Zugriffsgrenze für Anmeldedaten berücksichtigt.

Sie können dann mit dem neuen herabgestuften OAuth 2.0-Zugriffstoken Anfragen an Cloud Storage authentifizieren.

IAM-Rollen zuweisen

Eine Zugriffsgrenze für Anmeldedaten legt eine Obergrenze für die verfügbaren Berechtigungen für eine Ressource fest. Es kann Berechtigungen von einem Mitglied eingrenzen, aber es kann keine Berechtigungen hinzufügen, die das Mitglied nicht bereits hat.

Daher müssen Sie dem Mitglied auch Rollen zuweisen, die die benötigten Berechtigungen bereitstellen, entweder in einem Cloud Storage-Bucket oder auf einer übergeordneten Ressource wie dem Projekt.

Nehmen wir beispielsweise an, Sie möchten herabgestufte, kurzlebige Anmeldedaten erstellen, mit denen ein Dienstkonto Objekte in einem Bucket erstellen kann:

  • Sie müssen dem Dienstkonto eine Rolle mit der Berechtigung storage.objects.create zuweisen, beispielsweise die Rolle "Storage Object-Ersteller" (roles/storage.objectCreator). Die Zugriffsgrenze für Anmeldedaten muss diese Berechtigung ebenfalls enthalten.
  • Sie können auch eine Rolle zuweisen, die mehr Berechtigungen enthält, beispielsweise die Rolle "Storage Object-Administrator" (roles/storage.objectAdmin). Das Dienstkonto kann nur die Berechtigungen verwenden, die sowohl in der Rollenzuweisung als auch in der Zugriffsgrenze für Anmeldedaten angezeigt werden.

Zugriffsgrenze für Anmeldedaten definieren

Eine Zugriffsgrenze für Anmeldedaten ist ein JSON-Objekt mit einer Liste von Zugriffsbegrenzungsregeln. Jede Regel enthält diese Informationen:

  • Die Ressource, für die die Regel gilt
  • Die Obergrenze der Berechtigungen, die für diese Ressource verfügbar ist

Wenn Sie eine Zugriffsgrenze für Anmeldedaten auf kurzlebige Anmeldedaten anwenden, können die Anmeldedaten nur auf die Ressourcen innerhalb der Zugriffsgrenze für Anmeldedaten zugreifen. Für andere Ressourcen sind keine Berechtigungen verfügbar.

Eine Zugriffsgrenze für Anmeldedaten kann bis zu zehn Regeln zur Zugriffsgrenze enthalten. Sie können jeweils nur eine Zugriffsgrenze für Anmeldedaten auf alle kurzlebigen Anmeldedaten anwenden.

Eine Zugriffsgrenze für Anmeldedaten enthält diese Felder:

Felder
accessBoundaryRules[]

object

Eine Liste mit Zugriffsgrenzen, die auf kurzlebige Anmeldedaten angewendet werden.

accessBoundaryRules[].availablePermissions[]

string

Eine Liste, die die Obergrenze der verfügbaren Berechtigungen für die Ressource definiert.

Jeder Wert ist die Kennung für eine vordefinierte IAM-Rolle oder für eine benutzerdefinierte Rolle mit dem Präfix inRole:. Beispiel: inRole:roles/storage.objectViewer. Nur die Berechtigungen in diesen Rollen sind verfügbar.

accessBoundaryRules[].availableResource

string

Der vollständige Ressourcenname des Cloud Storage-Buckets, für den die Regel gilt. Verwenden Sie das Format //storage.googleapis.com/projects/_/buckets/bucket-name.

Das folgende Beispiel zeigt eine Zugriffsgrenze für Anmeldedaten mit Regeln für mehrere Ressourcen:

  • Der Cloud Storage-Bucket example-bucket-1. Für diesen Bucket sind nur die Berechtigungen in der Rolle "Storage Object-Betrachter" (roles/storage.objectViewer) verfügbar.
  • Der Cloud Storage-Bucket example-bucket-2. Für diesen Bucket sind nur die Berechtigungen in der Rolle "Storage Object-Ersteller" (roles/storage.objectCreator) verfügbar.
{
  "accessBoundaryRules": [
    {
      "availablePermissions": [
        "inRole:roles/storage.objectViewer"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
    },
    {
      "availablePermissions": [
        "inRole:roles/storage.objectCreator"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
    }
  ]
}

Erstellen Sie eine JSON-Datei, die eine Zugriffsgrenze für Anmeldedaten definiert. Sie verwenden diese Datei in einem späteren Schritt.

OAuth 2.0-Zugriffstoken erstellen

Bevor Sie herabgestufte, kurzlebige Anmeldedaten erstellen, müssen Sie ein normales OAuth 2.0-Zugriffstoken erstellen. Sie können dann die normalen Anmeldedaten gegen herabgestufte der Anmeldedaten austauschen. Verwenden Sie beim Erstellen des Zugriffstokens den OAuth 2.0-Bereich https://www.googleapis.com/auth/cloud-platform.

Zum Erstellen eines Zugriffstokens für ein Dienstkonto schließen Sie den OAuth 2.0-Ablauf von Server zu Server ab. Sie können auch die Service Account Credentials API zum Erstellen eines OAuth 2.0-Zugriffstokens verwenden.

Weitere Informationen zum Erstellen eines Zugriffstokens für einen Nutzer finden Sie unter OAuth 2.0-Zugriffstokens abrufen. Sie können auch mit OAuth 2.0 Playground ein Zugriffstoken für Ihr eigenes Google-Konto erstellen.

OAuth 2.0-Zugriffstoken austauschen

Nachdem Sie ein OAuth 2.0-Zugriffstoken erstellt haben, können Sie das Zugriffstoken gegen ein neues Token austauschen, das die Zugriffsgrenze für Anmeldedaten berücksichtigt. Sie tauschen das Zugriffstoken über den Sicherheitstokendienst aus. Dieser gehört zur Identity Platform.

Tauschen Sie das Zugriffstoken mit dieser HTTP-Methode und URL aus:

POST https://securetoken.googleapis.com/v2beta1/token

Setzen Sie den Header Content-Type in der Anfrage auf application/x-www-form-urlencoded. Fügen Sie im Anfragetext diese Felder ein:

Felder
access_boundary

string

Die prozentual codierte Zugriffsgrenze für Anmeldedaten.

grant_type

string

Verwenden Sie den Wert urn:ietf:params:oauth:grant-type:token-exchange.

requested_token_type

string

Verwenden Sie den Wert urn:ietf:params:oauth:token-type:access_token.

subject_token

string

Das OAuth 2.0-Zugriffstoken, das Sie austauschen möchten.

subject_token_type

string

Verwenden Sie den Wert urn:ietf:params:oauth:token-type:access_token.

Die Antwort ist ein JSON-Objekt mit diesen Feldern:

Felder
access_token

string

Ein neues OAuth 2.0-Zugriffstoken, das die Zugriffsgrenze für Anmeldedaten berücksichtigt.

expires_in

number

Die Zeit in Sekunden, bis das neue Zugriffstoken abläuft.

Dieses Feld ist nur vorhanden, wenn das ursprüngliche Zugriffstoken ein Dienstkonto darstellt. Wenn dieses Feld nicht vorhanden ist, läuft das neue Zugriffstoken genauso lange ab wie das ursprüngliche Zugriffstoken.

issued_token_type

string

Enthält den Wert urn:ietf:params:oauth:token-type:access_token.

token_type

string

Enthält den Wert Bearer.

Wenn beispielsweise die Zugriffsgrenze für Anmeldedaten in der Datei ./access-boundary.json gespeichert ist, können Sie mit diesem Befehl curl das Zugriffstoken austauschen. Ersetzen Sie original-token durch das ursprüngliche Zugriffstoken:

curl -H "Content-Type:application/x-www-form-urlencoded" \
    -X POST \
    https://securetoken.googleapis.com/v2beta1/token \
    -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \
    --data-urlencode "access_boundary=$(cat ./access-boundary.json)"

Die Antwort ähnelt diesem Beispiel:

{
  "access_token": "ya29.dr.AbCDeFg-123456...",
  "issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
  "token_type": "Bearer",
  "expires_in": 3600
}

Weitere Informationen