Usar políticas da organização personalizadas para políticas de permissão

Nesta página, mostramos como usar restrições personalizadas do serviço de políticas da organização para restringir operações específicas nos seguintes recursos do Google Cloud:

  • iam.googleapis.com/AllowPolicy

Para saber mais sobre a política da organização, consulte Políticas da organização personalizadas.

Sobre políticas e restrições da organização

O serviço de políticas da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na Hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.

A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também restrições personalizadas e use-as em uma política da organização.

Herança de políticas

Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.

Vantagens

É possível usar políticas da organização personalizadas que se referem a atributos do IAM para controlar como as políticas de permissão podem ser modificadas. Especificamente, é possível controlar o seguinte:

  • Quem pode receber funções
  • Quem pode ter as funções revogadas
  • Quais funções podem ser concedidas
  • Quais funções podem ser revogadas

Por exemplo, é possível impedir que papéis que contêm a palavra admin sejam concedidos a principais com um endereço de e-mail que termina em @gmail.com.

Limitações

  • As políticas da organização personalizadas no modo de teste que se referem a atributos do IAM têm algumas limitações. Especificamente, os registros de auditoria para violações que envolvem o método setIamPolicy podem não ter os seguintes campos:

    • resourceName
    • serviceName
    • methodName
  • Os registros de auditoria não são gerados para todas as violações de política da organização personalizada relacionada ao IAM. Ou seja, se uma política da organização personalizada causar a falha de uma operação setIamPolicy no recurso da organização, o Google Cloud não vai gerar um registro de auditoria para esse evento.

  • As políticas da organização personalizadas que fazem referência a atributos do IAM não afetam o seguinte:

  • É possível enviar convites para que os usuários se tornem proprietários, mesmo que você tenha uma política de organização personalizada que impeça a concessão do papel de proprietário (roles/owner). No entanto, embora a política da organização personalizada não impeça o envio de um convite, ela impede que os usuários convidados recebam a função de proprietário. Se os usuários convidados tentarem aceitar o convite, eles vão encontrar um erro e não receberão a função de proprietário.

  • Algumas ações no Google Cloud, como a criação de recursos ou a ativação de APIs, envolvem a concessão automática de uma função a um agente de serviço ou a uma conta de serviço padrão. Se uma ação envolve a concessão automática de uma função e uma política da organização impede que essa função seja concedida, toda a operação pode falhar.

    Se você encontrar esse problema, use tags para desativar temporariamente a restrição que impede a concessão de função. Em seguida, execute a ação. Quando a ação for concluída, reative a restrição.

Antes de começar

  • Se você quiser testar políticas da organização personalizadas que se referem a recursos do IAM, crie um novo projeto. Testar essas políticas da organização em um projeto atual pode interromper os fluxos de trabalho de segurança.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

Funções exigidas

Para conseguir as permissões necessárias para gerenciar as políticas da organização, peça ao administrador para conceder a você os papéis do IAM a seguir:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para gerenciar políticas da organizações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar as políticas da organização:

  • orgpolicy.* na organização
  • Teste as políticas da organização descritas nesta página: resourcemanager.projects.setIamPolicy no projeto

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar uma restrição personalizada

Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL de Como criar e gerenciar restrições personalizadas.

Para criar uma restrição personalizada, crie um arquivo YAML usando o seguinte formato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Substitua:

  • ORGANIZATION_ID: o ID da organização, como 123456789.

  • CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar com custom. e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo, custom.denyProjectIAMAdmin. O comprimento máximo desse campo é de 70 caracteres.

  • RESOURCE_NAME: o nome totalmente qualificado do recurso do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo, iam.googleapis.com/AllowPolicy.

  • CONDITION: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1000 caracteres. Consulte Recursos compatíveis para mais informações sobre os recursos disponíveis para gravar condições. Por exemplo, resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

  • ACTION: a ação a ser realizada se o condition for atendido. Os valores possíveis são ALLOW e DENY.

  • DISPLAY_NAME: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.

  • DESCRIPTION: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.

Para mais informações sobre como criar uma restrição personalizada, consulte Como definir restrições personalizadas.

Configurar uma restrição personalizada

Depois de criar o arquivo YAML para uma nova restrição personalizada, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Substitua CONSTRAINT_PATH pelo caminho completo do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, as restrições personalizadas vão estar disponíveis como políticas da organização na sua lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para mais informações, consulte Como visualizar as políticas da organização.

Aplicar uma política da organização personalizada

Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e depois aplique essa política da organização a um recurso do Google Cloud.

Console

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  3. Na lista da página Políticas da organização, selecione a restrição para acessar a página Detalhes da política dela.
  4. Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
  5. Na página Editar política, selecione Substituir a política do editor principal.
  6. Clique em Adicionar uma regra.
  7. Na seção Aplicação, selecione se a aplicação dessa política da organização está ativada ou desativada.
  8. Opcional: para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais informações, consulte Como configurar uma política da organização com tags.
  9. Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
  10. Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.

gcloud

Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

Substitua:

  • PROJECT_ID: o projeto em que você quer aplicar a restrição.
  • CONSTRAINT_NAME: o nome definido para a restrição personalizada. Por exemplo, custom.denyProjectIAMAdmin.

Para aplicar a política da organização que contém a restrição, execute o seguinte comando:

    gcloud org-policies set-policy POLICY_PATH
    

Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.

Testar a política personalizada da organização

Opcionalmente, defina a política da organização ao configurar a política e tente realizar uma ação que ela precisa impedir.

Crie a restrição.

  1. Salve o seguinte arquivo como constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
    resourceTypes: iam.googleapis.com/AllowPolicy
    methodTypes:
      - CREATE
      - UPDATE
    condition:
      "resource.bindings.exists(
        binding,
        RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
        binding.members.exists(member,
          MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
        )
      )"
    actionType: DENY
    displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
    

    Substitua os seguintes valores:

    • ORG_ID: o número do ID da sua organização do Google Cloud.
    • MEMBER_EMAIL_ADDRESS: o endereço de e-mail do principal que você quer usar para testar a restrição personalizada. Enquanto a restrição estiver ativa, esse principal não poderá receber o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que você aplicou a restrição.
  2. Aplique a restrição:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
    
  3. Verifique se a restrição existe:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
    

Crie a política

  1. Salve o seguinte arquivo como policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
    spec:
      rules:
      - enforce: true
    

    Substitua PROJECT_ID pela ID do seu projeto.

  2. Aplique a política:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
    
  3. Verifique se a política existe:

    gcloud org-policies list --project=PROJECT_ID
    

Depois de aplicar a política, aguarde cerca de dois minutos para que o Google Cloud comece a aplicar a política.

Testar a política

Tente conceder o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ao principal cujo endereço de e-mail você incluiu na restrição personalizada. Antes de executar o comando, substitua os seguintes valores:

  • PROJECT_ID: o ID do projeto do Google Cloud em que você aplicou a restrição.
  • EMAIL_ADDRESS: o endereço de e-mail do principal especificado ao criar a restrição de política da organização.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

A saída é esta:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Exemplos de políticas personalizadas da organização para casos de uso comuns

A tabela a seguir mostra a sintaxe de algumas restrições personalizadas para casos de uso comuns.

Os exemplos a seguir usam as macros all e exists do CEL. Para mais informações sobre essas macros, consulte Macros.

Descrição Sintaxe de restrição
Bloquear a capacidade de conceder uma função específica.
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Permitir apenas a concessão de funções específicas.
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Impedir que papéis que começam com roles/storage. sejam concedidos.
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Impedir que os papéis com admin no nome sejam revogados.
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Permitir que apenas principais específicos recebam papéis.
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Impedir que papéis sejam revogados de principais específicos.
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Impedir que participantes com endereços de e-mail que terminam em @gmail.com recebam papéis.
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Permitir que apenas papéis específicos sejam concedidos e apenas a principais específicos.
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Impedir que os papéis do Cloud Storage sejam concedidos a allUsers e allAuthenticatedUsers.
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
Impeça que identidades fora da sua organização recebam papéis.
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
Permitir que apenas contas de serviço recebam papéis.
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles

Recursos compatíveis com o Identity and Access Management

O IAM oferece suporte ao recurso AllowPolicy. Esse recurso tem o atributo resources.bindings, que é retornado para todos os métodos que modificam a política de permissão de um recurso. Todos os métodos que modificam a política de permissão de um recurso terminam com setIamPolicy.

O atributo resource.bindings tem a seguinte estrutura, em que BINDINGS é uma matriz de vinculações de papéis que foram modificadas durante uma mudança para uma política de permissão:

{
  "bindings": {
    BINDINGS
  }
}

Cada vinculação em resource.bindings tem a seguinte estrutura, em que ROLE é o nome do papel na vinculação de papel e MEMBERS é uma lista de identificadores dos participantes que foram adicionados ou removidos da vinculação de papel:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para conferir os formatos que os identificadores principais podem ter, consulte Identificadores principais.

Só é possível avaliar o atributo resource.bindings e os campos dele usando as funções compatíveis. Outros operadores e funções, como ==, !=, in, contains, startsWith e endsWith, não são compatíveis.

Funções compatíveis

Use as funções CEL a seguir para avaliar os campos role e members dos recursos binding. Ao usar essas funções, você também pode usar os operadores lógicos && (and) e || (or) para gravar condições de várias partes.

Função Descrição
RoleNameMatches(
  role,
  roleNames: list
)
  bool

Retorna true se o papel role corresponder totalmente a no mínimo um dos papéis listados em roleNames.

Parâmetros
role: o papel a ser avaliado.
roleNames: uma lista de nomes de papéis a serem comparados.
Exemplo

Retorna true se o role no binding especificado for roles/storage.admin ou roles/compute.admin:

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)
  bool

Retorna true se o papel role começar com pelo menos uma das strings listadas em rolePrefixes.

Parâmetros
role: o papel a ser avaliado.
rolePrefixes: uma lista de strings para corresponder ao início da função.
Exemplo

Retornará true se o role no binding especificado começar com roles/storage:

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)
  bool

Retorna true se a função role terminar com pelo menos uma das strings listadas em roleSuffixes.

Parâmetros
role: o papel a ser avaliado.
roleSuffixes: uma lista de strings para corresponder ao final do papel.
Exemplo

Retorna true se o role no binding especificado terminar com .admin:

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)
  bool

Retorna true se o papel role contiver no mínimo uma das strings listadas em roleSubstrings.

Parâmetros
role: o papel a ser avaliado.
roleSubstrings: uma lista de strings para corresponder a qualquer parte do papel.
Exemplo

Retorna true se o role no binding especificado contiver a string admin:

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)
  bool

Retornará true se o membro member corresponder totalmente a no mínimo um dos membros listados em memberNames.

Se o identificador de member for um endereço de e-mail, essa função avaliará apenas esse endereço de e-mail, sem avaliar nenhum alias para ele.

Parâmetros
member: o membro a ser avaliado.
memberNames: uma lista de nomes de membros para correspondência.
Exemplo

Retorna true se o membro member for rosario@example.com:

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)
  bool

Retorna true se o membro member começar com pelo menos uma das strings listadas em memberPrefixes.

Se o identificador de member for um endereço de e-mail, essa função avaliará apenas esse endereço de e-mail, sem avaliar nenhum alias para ele.

Parâmetros
member: o membro a ser avaliado.
memberPrefixes: uma lista de strings para corresponder ao início do nome do membro.
Exemplo

Retorna true se o membro member começar com user:prod-:

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)
  bool

Retorna true se o membro member terminar com pelo menos uma das strings listadas em memberSuffixes.

Se o identificador de member for um endereço de e-mail, essa função avaliará apenas esse endereço de e-mail, sem avaliar nenhum alias para ele.

Parâmetros
member: o membro a ser avaliado.
memberSuffixes: uma lista de strings para corresponder ao final do nome do membro.
Exemplo

Retorna true se o membro member terminar com @example.com:

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)
  bool

Retorna true se o membro pertencer a pelo menos um dos conjuntos principais listados.

Parâmetros
member: o membro a ser avaliado.

principalSets: uma lista de conjuntos principais. Para que a função seja avaliada como true, o membro precisa estar em pelo menos um desses conjuntos principais.

O único conjunto de principais aceito é o da organização, que tem o formato //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. Quando usado na função MemberInPrincipalSet, esse conjunto de principais inclui os seguintes:

  • Todas as identidades em todos os domínios associados ao seu ID de cliente do Google Workspace
  • Todos os pools de identidade de força de trabalho na sua organização
  • Todas as contas de serviço e pools de identidade de carga de trabalho em qualquer projeto da organização
  • Todos os agentes de serviço associados a recursos na sua organização.
Exemplo

Retorna true se o membro member pertencer à organização @example.com, que tem o ID 123456789012:

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)
  bool

Retorna true se o membro for um dos tipos principais listados.

Parâmetros
member: o membro a ser avaliado.
principalType: uma lista de tipos principais. Para que a função seja avaliada como true, o membro precisa ser um dos principais tipos listados. Para saber quais tipos principais são aceitos, consulte Tipos principais aceitos para MemberTypeMatches.
Exemplo

Retorna true se o membro member tiver o tipo principal iam.googleapis.com/WorkspacePrincipal ou iam.googleapis.com/WorkspaceGroup:

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

Tipos principais com suporte para MemberTypeMatches

A função MemberTypeMatches exige que você especifique qual tipo principal o membro especificado precisa corresponder.

A tabela a seguir lista os tipos principais que podem ser inseridos e uma descrição do que o tipo principal representa. Ela também lista os identificadores principais que correspondem a cada tipo principal. Esses identificadores são os valores usados nas políticas do IAM.

Tipo principal Descrição Identificadores principais
iam.googleapis.com/ConsumerPrincipal Uma Conta do Google pessoal. Os endereços de e-mail dessas contas geralmente terminam em gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal Uma conta do Google que faz parte de uma conta do Cloud Identity ou do Google Workspace. Essas contas também são chamadas de contas de usuário gerenciadas. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup Um grupo do Google criado por uma conta de consumidor do Google. Esses grupos não são de uma conta do Cloud Identity ou do Google Workspace. Os endereços de e-mail desses grupos geralmente terminam em googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup Um grupo do Google que pertence a uma conta do Cloud Identity ou do Google Workspace. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Uma conta do Cloud Identity ou do Google Workspace. domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal Um único principal em um pool de identidade de colaboradores. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet Um conjunto principal que contém um conjunto de identidades em um pool de identidade da força de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades da força de trabalho.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal Uma única identidade em um pool de identidade da carga de trabalho principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet Um conjunto principal que contém um conjunto de identidades em um pool de identidades de carga de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades de carga de trabalho.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

Qualquer conta de serviço. Uma conta de serviço é um tipo especial de conta que representa uma carga de trabalho em vez de um usuário humano.

No contexto da função MemberTypeMatches, esse tipo principal não inclui agentes de serviço.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent Qualquer agente de serviço. Um agente de serviço é um tipo especial de conta de serviço que o Google Cloud cria e gerencia. Quando recebem papéis nos seus projetos, os agentes de serviço permitem que os serviços do Google Cloud realizem ações em seu nome. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals Os principais allUsers e allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference Participantes principais definidos com base no papel concedido a eles. Esses princípios também são chamados de valores de conveniência.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID

A seguir