管理条件角色绑定

本主题介绍了如何在 Identity and Access Management (IAM) 政策中添加、修改和移除条件角色绑定。

准备工作

向政策添加条件角色绑定

可以将条件角色绑定添加到新的或现有的 IAM 政策中,以进一步控制对 Google Cloud 资源的访问。本部分介绍如何使用 Cloud Console、gcloud 命令行工具和 REST API 将简单的基于时间的条件添加到现有政策。

要向现有政策添加条件角色绑定,请执行以下操作:

控制台

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM 页面

  2. 从成员列表中找到所需成员,然后点击 按钮。

  3. 修改权限面板中,找到要为其配置条件的目标角色。然后在条件下,点击添加条件

  4. 修改条件面板中,输入条件的标题和选填性说明。

  5. 您可以使用条件构建器条件编辑器添加条件表达式。条件构建器提供一个交互式界面,用于选择所需的条件类型、运算符以及有关表达式的其他适用详情。条件编辑器提供基于文本的界面,可使用 CEL 语法手动输入表达式。

    条件构建器

    1. 条件类型下拉列表中,选择访问权限到期时间
    2. 运算符下拉列表中,选择 by
    3. 时间下拉列表中,点击 按钮,以便从日期和时间范围中进行选择。
    4. 点击保存以应用条件。
    5. 关闭修改条件面板后,在修改权限面板中再次点击保存,以更新 IAM 政策。

    条件编辑器

    1. 点击条件编辑器标签页并输入以下表达式(将时间戳替换为您自己的时间戳):

      request.time < timestamp("2019-12-31T12:00:00.000Z")
    2. 输入表达式后,您可以通过点击右上方文本框上方的运行 linter 来选择验证 CEL 语法。

    3. 点击保存以应用条件。

    4. 关闭修改条件面板后,在修改权限面板中再次点击保存,以更新 IAM 政策。

gcloud

IAM 政策是使用读取-修改-写入模式设置的。

执行 gcloud projects get-iam-policy 命令以获取项目的当前 IAM 政策。在以下示例中,将政策的 JSON 版本下载到磁盘上的路径中。

命令:

gcloud projects get-iam-policy project-id --format json > file-path

下载 IAM 政策的 JSON 格式:

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:travis@example.com"
      ],
      "role": "roles/iam.securityReviewer"
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 1
}

请注意政策的当前 version,即 1。要配置具有可过期访问权限的政策,请添加以下突出显示的条件表达式(将时间戳替换为您自己的时间戳)。如果您使用的不是 263.0.0 或更高版本的 gcloud 工具,请确保将 version 值更新为 3。如果您使用的是较新版本的 gcloud 工具,系统会自动为您设置最大政策值:

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:travis@example.com"
      ],
      "role": "roles/iam.securityReviewer",
      "condition": {
          "title": "Expires_2019",
          "description": "Expires at noon on 2019-12-31",
          "expression":
            "request.time < timestamp('2019-12-31T12:00:00Z')"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

接下来,通过执行 gcloud projects set-iam-policy 命令设置新的政策:

gcloud projects set-iam-policy project-id file-path

系统将应用新的政策,且 travis@example.com 的角色绑定将在指定时间过期。

REST

使用读取-修改-写入模式以允许在特定时间之前访问。

首先,读取项目的 IAM 政策

Resource Manager API 的 projects.getIamPolicy 方法可获取项目的 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。
  • policy-version:要返回的政策版本。请求应指定最新的政策版本,即政策版本 3。如需了解详情,请参阅在获取政策时指定政策版本

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:getIamPolicy

请求 JSON 正文:

{
  "options": {
    "requestedPolicyVersion": policy-version
  }
}

如需发送您的请求,请展开以下选项之一:

您应该会收到类似以下内容的 JSON 响应:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/iam.securityReviewer",
      "members": [
        "user:travis@example.com"
      ]
    }
  ]
}

请注意政策的当前 version,即 1

接下来,修改政策以使其允许在特定时间之前访问。请务必将 version 字段更改为值 3

{
  "etag": "BwWKmjvelug=",
  "version": 3,
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/iam.securityReviewer",
      "condition": {
        "title": "Expires_2019",
        "description": "Expires at noon on 2019-12-31",
        "expression": "request.time < timestamp('2019-12-31T12:00:00Z')"
      },
      "members": [
        "user:travis@example.com"
      ]
    }
  ]
}

最后,写入更新后的政策

Resource Manager API 的 projects.setIamPolicy 方法会将请求中的政策设置为项目的新 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:setIamPolicy

请求 JSON 正文:

{
  "policy": {
    "version": 3,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/owner",
        "members": [
          "user:project-owner@example.com"
        ]
      },
      {
        "role": "roles/iam.securityReviewer",
        "members": [
          "user:travis@example.com"
        ],
        "condition": {
          "title": "Expires_July_1_2020",
          "description": "Expires on July 1, 2020",
          "expression":
            "request.time < timestamp('2020-07-01T00:00:00.000Z')"
        }
      }
    ]
  }
}

如需发送您的请求,请展开以下选项之一:

响应中包含更新后的政策。


修改现有的条件角色绑定

创建条件角色绑定后,您可以随时更改条件表达式。本部分介绍如何使用 Cloud Console、gcloud 命令行工具和 REST API 更新现有政策中的基于时间的条件

要修改现有政策中的条件角色绑定,请执行以下操作:

控制台

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM 页面

  2. 从成员列表中找到所需成员,然后点击 按钮。

  3. 修改权限面板中,找到要为其配置条件的目标角色。然后在条件下,点击现有条件的名称进行修改。

  4. 修改条件面板中,可以保留或更新条件的现有标题和说明。

  5. 您可以使用条件构建器条件编辑器来修改现有条件表达式或添加新条件表达式。条件构建器提供一个交互式界面,用于选择所需的条件类型、运算符以及有关表达式的其他适用详情。条件编辑器提供基于文本的界面,可使用 CEL 语法手动输入表达式。

    条件构建器

    1. 添加新的条件表达式或修改现有的条件表达式。
    2. 点击保存以应用条件。
    3. 关闭修改条件面板后,在修改权限面板中再次点击保存,以更新 IAM 政策。

    条件编辑器

    1. 点击条件编辑器标签页,然后添加新的条件表达式或修改现有的条件表达式。
    2. 输入表达式后,您可以通过点击右上方文本框上方的运行 linter 来选择验证 CEL 语法。
    3. 点击保存以应用条件。
    4. 关闭修改条件面板后,在修改权限面板中再次点击保存,以更新 IAM 政策。

gcloud

IAM 政策是使用读取-修改-写入模式设置的。

执行 gcloud projects get-iam-policy 命令以获取项目的当前 IAM 政策。在以下示例中,将政策的 JSON 版本下载到磁盘上的路径中。

命令:

gcloud projects get-iam-policy project-id --format json > file-path

下载 IAM 政策的 JSON 格式:

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:fatima@example.com"
      ],
      "role": "roles/bigquery.dataViewer",
      "condition": {
        "title": "Duration_3_months",
        "description": "Expires in 3 months on 2019-10-12",
        "expression":
          "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") && request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

在此示例中,我们将更新表达式中的 titledescription 和时间戳值,以更改计划的访问条件的持续时间。更新条件的以下突出显示部分(将值替换为您自己的值):

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:fatima@example.com"
      ],
      "role": "roles/bigquery.dataViewer",
      
      "condition": {
        "title": "Duration_5_months",
        "description": "Expires in 5 months on 2020-01-12",
        "expression":
          "request.time > timestamp('2019-07-12T07:00:00.000Z') && request.time < timestamp('2020-01-12T07:00:00.000Z')"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

接下来,通过执行 gcloud projects set-iam-policy 命令设置新的政策。

gcloud projects set-iam-policy project-id file-path

系统将应用更新后的政策,且 fatima@example.com 的角色绑定将在新时间过期。

REST

使用读取-修改-写入模式修改条件角色绑定。

首先,读取项目的 IAM 政策

Resource Manager API 的 projects.getIamPolicy 方法可获取项目的 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:getIamPolicy

请求 JSON 正文:

{
  "options": {
    "requestedPolicyVersion": 3
  }
}

如需发送您的请求,请展开以下选项之一:

您应该会收到类似以下内容的 JSON 响应:

{
  "etag": "BwWKmjvelug=",
  "version": 3,
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/bigquery.dataViewer",
      "condition": {
        "title": "Duration_3_months",
        "description": "Expires in 3 months on 2019-10-12",
        "expression":
          "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") && request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
      },
      "members": [
        "user:fatima@example.com"
      ]
    }
  ]
}

接下来,修改政策中的条件角色绑定。在此示例中,我们将更新时间戳值,以更改计划的访问条件的持续时间。更新条件表达式的以下突出显示部分(将时间戳替换为您自己的时间戳):

{
  "etag": "BwWKmjvelug=",
  "version": 3,
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/bigquery.dataViewer",
      "condition": {
        "title": "Duration_5_months",
        "description": "Expires in 5 months on 2020-01-12",
        "expression":
          "request.time > timestamp('2019-07-12T07:00:00.000Z') && request.time < timestamp('2020-01-12T07:00:00.000Z')"
      },
      "members": [
        "user:fatima@example.com"
      ]
    }
  ]
}

最后,写入更新后的政策

Resource Manager API 的 projects.setIamPolicy 方法会将请求中的政策设置为项目的新 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:setIamPolicy

请求 JSON 正文:

{
  "policy": {
    "etag": "BwWKmjvelug=",
    "version": 3,
    "bindings": [
      {
        "role": "roles/owner",
        "members": [
          "user:project-owner@example.com"
        ]
      },
      {
        "role": "roles/bigquery.dataViewer",
        "condition": {
          "title": "Duration_5_months",
          "description": "Expires in 5 months on 2020-01-12",
          "expression":
            "request.time > timestamp('2019-07-12T07:00:00.000Z') && request.time < timestamp('2020-01-12T07:00:00.000Z')"
        },
        "members": [
          "user:fatima@example.com"
        ],
      }
    ]
  }
}

如需发送您的请求,请展开以下选项之一:

响应中包含更新后的政策。


移除条件角色绑定

移除 IAM 政策中的条件角色绑定后,对资源的访问权限将限定为仅该角色绑定。本部分介绍如何使用 Cloud Console、gcloud 命令行工具和 REST API 移除政策中的基于时间的条件

要从政策中的角色绑定中移除条件,请执行以下操作:

控制台

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM 页面

  2. 从成员列表中找到所需成员,然后点击 按钮。

  3. 修改权限面板中,找到所需的角色绑定。然后在条件下,点击现有条件的名称。

  4. 修改条件面板中,点击 按钮以移除条件。系统会提示您确认是否移除条件。

  5. 关闭修改条件面板后,在修改权限面板中再次点击保存,以更新 IAM 政策。

gcloud

IAM 政策是使用读取-修改-写入模式设置的。

执行 gcloud projects get-iam-policy 命令以获取项目的当前 IAM 政策。在以下示例中,将政策的 JSON 版本下载到磁盘上的路径中。

命令:

gcloud projects get-iam-policy project-id --format json > file-path

下载 IAM 政策的 JSON 格式:

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:fatima@example.com"
      ],
      "role": "roles/bigquery.dataViewer",
      "condition": {
        "title": "Duration_3_months",
        "description": "Expires in 3 months on 2019-10-12",
        "expression":
          "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") && request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

要从政策中移除条件角色绑定,请移除 condition 块,如下所示:

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:fatima@example.com"
      ],
      "role": "roles/bigquery.dataViewer",
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

请注意,尽管无条件角色绑定仅需要政策版本 1,但 version 仍会设为 3。我们建议您在为条件角色绑定和无条件角色绑定设置政策时,始终使用最高的政策版本号。如需了解详情,请参阅版本要求。如果您使用的是 263.0.0 或更高版本的 gcloud 工具,则系统将为您更新最新的政策版本。

接下来,通过执行 gcloud projects set-iam-policy 命令设置更新后的政策:

gcloud projects set-iam-policy project-id file-path

系统将应用更新后的政策,其中移除了 fatima@example.com 的条件角色绑定。角色绑定不会再过期。

REST

使用读取-修改-写入模式移除条件角色绑定。

首先,读取项目的 IAM 政策

Resource Manager API 的 projects.getIamPolicy 方法可获取项目的 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:getIamPolicy

请求 JSON 正文:

{
  "options": {
    "requestedPolicyVersion": 3
  }
}

如需发送您的请求,请展开以下选项之一:

您应该会收到类似以下内容的 JSON 响应:

{
  "etag": "BwWKmjvelug=",
  "version": 3,
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/bigquery.dataViewer",
      "condition": {
        "title": "Duration_3_months",
        "description": "Expires in 3 months on 2019-10-12",
        "expression":
          "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") && request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
      },
      "members": [
        "user:fatima@example.com"
      ]
    }
  ]
}

接下来,通过移除条件角色绑定修改政策

{
  "etag": "BwWKmjvelug=",
  "version": 3,
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/bigquery.dataViewer",
      "members": [
        "user:fatima@example.com"
      ]
    }
  ]
}

请注意,尽管无条件角色绑定仅需要政策版本 1,但 version 仍会设为 3。我们建议您在为条件角色绑定和无条件角色绑定设置政策时,始终使用最高的政策版本号。如需了解详情,请参阅版本要求

最后,写入更新后的政策

Resource Manager API 的 projects.setIamPolicy 方法会将请求中的政策设置为项目的新 IAM 政策。

在使用下面的请求数据之前,请先进行以下替换:

  • project-id:您的 Google Cloud 项目 ID。

HTTP 方法和网址:

POST https://cloudresourcemanager.googleapis.com/v1/projects/project-id:setIamPolicy

请求 JSON 正文:

{
  "policy": {
    "etag": "BwWKmjvelug=",
    "version": 3,
    "bindings": [
      {
        "role": "roles/owner",
        "members": [
          "user:project-owner@example.com"
        ]
      },
      {
        "role": "roles/bigquery.dataViewer",
        "members": [
          "user:fatima@example.com"
        ]
      }
    ]
  }
}

如需发送您的请求,请展开以下选项之一:

响应中包含更新后的政策。