使用自定义组织政策作为允许政策

本页介绍了如何使用组织政策服务自定义限制条件来限制对以下 Google Cloud 资源的特定操作:

  • iam.googleapis.com/AllowPolicy

如需详细了解组织政策,请参阅自定义组织政策

组织政策和限制条件简介

Google Cloud 组织政策服务可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。

组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在组织政策中使用这些自定义限制条件。

政策继承

如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则

优势

您可以使用引用 IAM 属性的自定义组织政策来控制允许政策的修改方式。具体而言,您可以控制以下各项:

  • 谁可以被授予角色
  • 谁的角色可能会被撤消
  • 可以授予哪些角色
  • 可以撤消哪些角色

例如,您可以阻止向电子邮件地址以 @gmail.com 结尾的主账号授予包含 admin 一词的角色。

限制

  • 模拟运行模式下引用 IAM 属性的自定义组织政策存在一些限制。也就是说,涉及 setIamPolicy 方法的违规行为的审核日志可能缺少以下字段:

    • resourceName
    • serviceName
    • methodName
  • 系统不会为所有与 IAM 相关的自定义组织政策违规行为生成审核日志。也就是说,如果自定义组织政策导致对组织资源执行的 setIamPolicy 操作失败,Google Cloud 不会为该事件生成审核日志。

  • 引用 IAM 属性的自定义组织政策不会影响以下各项:

  • 即使您有自定义组织政策阻止授予 Owner 角色 (roles/owner),也可以向用户发送邀请,邀请他们成为所有者。不过,虽然自定义组织政策不会阻止发送邀请,但会阻止向受邀用户授予“所有者”角色。如果受邀用户尝试接受邀请,则会遇到错误,并且不会被授予 Owner 角色。

  • Google Cloud 中的某些操作(例如创建资源或启用 API)会涉及自动向服务代理默认服务账号授予角色。如果某项操作涉及自动授予角色,而组织政策阻止授予该角色,则整个操作可能会失败。

    如果您遇到此问题,可以使用标记暂时停用阻止授予角色的限制条件。然后,执行相应操作。操作完成后,重新启用该约束条件。

准备工作

  • 如果您想测试引用 IAM 资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流。

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

所需的角色

如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

管理组织政策需要以下权限:

  • 针对组织的 orgpolicy.* 权限
  • 测试本页面中所述的组织政策: resourcemanager.projects.setIamPolicy 针对项目

您也可以使用自定义角色或其他预定义角色来获取这些权限。

创建自定义限制条件

自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。

如需创建自定义限制条件,请使用以下格式创建 YAML 文件:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

替换以下内容:

  • ORGANIZATION_ID:您的组织 ID,例如 123456789

  • CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以 custom. 开头,只能包含大写字母、小写字母或数字,例如 custom.denyProjectIAMAdmin。此字段的最大长度为 70 个字符。

  • RESOURCE_NAME:包含要限制的对象和字段的 Google Cloud 资源的完全限定名称。例如 iam.googleapis.com/AllowPolicy

  • CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如 resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))

  • ACTION:满足 condition 时要执行的操作。可能的值有 ALLOWDENY

  • DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。

  • DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。

如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件

设置自定义限制条件

为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

强制执行自定义组织政策

如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

控制台

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要设置组织政策的项目。
  3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
  4. 如需为该资源配置组织政策,请点击管理政策
  5. 修改政策页面,选择覆盖父级政策
  6. 点击添加规则
  7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
  8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
  9. 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
  10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

gcloud

如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

请替换以下内容:

  • PROJECT_ID:要对其实施限制条件的项目。
  • CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.denyProjectIAMAdmin

如需强制执行包含限制条件的组织政策,请运行以下命令:

    gcloud org-policies set-policy POLICY_PATH
    

POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

测试自定义组织政策

(可选)您可以通过设置组织政策,然后尝试执行该政策应阻止的操作来测试该政策。

创建限制条件

  1. 将以下文件另存为 constraint-deny-project-iam-admin

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
    resourceTypes: iam.googleapis.com/AllowPolicy
    methodTypes:
      - CREATE
      - UPDATE
    condition:
      "resource.bindings.exists(
        binding,
        RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
        binding.members.exists(member,
          MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
        )
      )"
    actionType: DENY
    displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
    

    替换以下值:

    • ORG_ID:您的 Google Cloud 组织的数字 ID。
    • MEMBER_EMAIL_ADDRESS:您要用来测试自定义约束条件的主账号的电子邮件地址。在限制条件有效期间,您将无法向您强制执行限制条件的项目授予此主账号 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin)。
  2. 应用限制条件:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
    
  3. 验证限制条件存在:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
    

创建政策

  1. 将以下文件保存为 policy-deny-project-iam-admin.yaml

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
    spec:
      rules:
      - enforce: true
    

    PROJECT_ID 替换为您的项目 ID。

  2. 应用政策:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
    
  3. 验证政策存在:

    gcloud org-policies list --project=PROJECT_ID
    

应用政策后,请等待大约两分钟,以便 Google Cloud 开始强制执行政策。

测试政策

尝试向您在自定义约束条件中添加电子邮件地址的主账号授予 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin)。在运行该命令之前,请替换以下值:

  • PROJECT_ID:您强制执行约束条件的 Google Cloud 项目的 ID
  • EMAIL_ADDRESS:您在创建组织政策约束条件时指定的主账号的电子邮件地址。
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

输出如下所示:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

常见用例的自定义组织政策示例

下表提供了一些常见用例的自定义约束条件的语法。

以下示例使用 CEL 宏 allexists。如需详细了解这些宏,请参阅

说明 限制条件语法
禁止授予特定角色。
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
仅允许授予特定角色。
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
阻止授予以 roles/storage. 开头的任何角色。
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
阻止撤消名称中包含 admin 的任何角色。
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
仅允许向特定主账号授予角色。
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
阻止从特定主账号撤消任何角色。
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
阻止向电子邮件地址以 @gmail.com 结尾的主账号授予角色。
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
仅允许授予特定角色,且仅向特定主账号授予。
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
阻止向 allUsersallAuthenticatedUsers 授予 Cloud Storage 角色。
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
阻止向贵组织之外的任何身份授予角色。
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
仅允许向服务账号授予角色。
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles

Identity and Access Management 支持的资源

IAM 支持 AllowPolicy 资源。此资源具有 resources.bindings 属性,系统会针对修改资源允许政策的所有方法返回此属性。用于修改资源允许政策的所有方法均以 setIamPolicy 结尾。

resource.bindings 属性具有以下结构,其中 BINDINGS 是更改允许政策期间修改的角色绑定的数组:

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings 中的每个绑定都具有以下结构,其中 ROLE 是角色绑定中的角色名称,MEMBERS 是添加到或从角色绑定中移除的主账号的标识符列表:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

如需查看主账号标识符可以采用的格式,请参阅主账号标识符

您只能使用受支持的函数评估 resource.bindings 属性及其字段。不支持其他运算符和函数,例如 ==!=incontainsstartsWithendsWith

支持的函数

您可以使用以下 CEL 函数来评估 binding 资源的 rolemembers 字段。使用这些函数时,您还可以使用逻辑运算符 && (and) 和 || (or) 编写多部分条件。

函数 说明
RoleNameMatches(
  role,
  roleNames: list
)
  bool

如果角色 roleroleNames 中列出的至少一个角色完全匹配,则返回 true

参数
role:要评估的角色。
roleNames:要匹配的角色名称列表。
示例

如果指定 binding 中的 roleroles/storage.adminroles/compute.admin,则返回 true

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)
  bool

如果角色 rolerolePrefixes 中列出的至少一个字符串开头,则返回 true

参数
role:要评估的角色。
rolePrefixes:用于与角色开头部分匹配的字符串列表。
示例

如果指定 binding 中的 roleroles/storage 开头,则返回 true

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)
  bool

如果角色 roleroleSuffixes 中列出的至少一个字符串结尾,则返回 true

参数
role:要评估的角色。
roleSuffixes:用于与角色结尾部分匹配的字符串列表。
示例

如果指定 binding 中的 role.admin 结尾,则返回 true

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)
  bool

如果角色 role 包含 roleSubstrings 中列出的至少一个字符串,则返回 true

参数
role:要评估的角色。
roleSubstrings:一个字符串列表,用于与角色的任何部分匹配。
示例

如果指定 binding 中的 role 包含字符串 admin,则返回 true

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)
  bool

如果成员 membermemberNames 中列出的至少一个成员完全匹配,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行求值,而不会对该电子邮件地址的任何别名进行求值。

参数
member:要评估的成员。
memberNames:要匹配的成员名称列表。
示例

如果成员 memberrosario@example.com,则返回 true

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)
  bool

如果成员 membermemberPrefixes 中列出的至少一个字符串开头,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行求值,而不会对该电子邮件地址的任何别名进行求值。

参数
member:要评估的成员。
memberPrefixes:用于与成员名称开头部分匹配的字符串列表。
示例

如果成员 memberuser:prod- 开头,则返回 true

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)
  bool

如果成员 membermemberSuffixes 中列出的至少一个字符串结尾,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行求值,而不会对该电子邮件地址的任何别名进行求值。

参数
member:要评估的成员。
memberSuffixes:用于与成员名称结尾部分匹配的字符串列表。
示例

如果成员 member@example.com 结尾,则返回 true

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)
  bool

如果成员属于所列主账号集的至少一个,则返回 true

参数
member:要评估的成员。

principalSets:主集列表。为了让函数求值为 true,成员必须位于其中至少一个主要集合中。

唯一支持的主账号集是组织主账号集,其格式为 //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID。 在 MemberInPrincipalSet 函数中使用时,此正文集包含以下正文:

  • 与您的 Google Workspace 客户 ID 关联的所有网域中的所有身份
  • 贵组织中的所有员工身份池
  • 组织中任何项目中的所有服务账号和工作负载身份池
  • 与贵组织中的资源关联的所有服务代理
示例

如果成员 member 属于 ID 为 123456789012@example.com 组织,则返回 true

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)
  bool

如果成员是所列主账号类型之一,则返回 true

参数
member:要评估的成员。
principalType:主账号类型列表。为了让函数求值为 true,成员必须是所列主要类型之一。如需了解支持哪些主账号类型,请参阅 MemberTypeMatches 支持的主账号类型
示例

如果成员 member 的主账号类型为 iam.googleapis.com/WorkspacePrincipaliam.googleapis.com/WorkspaceGroup,则返回 true

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

MemberTypeMatches 支持的主账号类型

MemberTypeMatches 函数要求您指定指定成员必须与哪种主要类型匹配。

下表列出了您可以输入的主账号类型,以及主账号类型的说明。该页面还列出了与每种主账号类型对应的主账号标识符。这些标识符是 IAM 政策中使用的值。

主账号类型 说明 主账号标识符
iam.googleapis.com/ConsumerPrincipal Google 个人账号。这些账号的电子邮件地址通常以 gmail.com 结尾。 user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal 属于 Cloud Identity 或 Google Workspace 账号的 Google 账号。这些账号也称为 受管理的用户账号 user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup 由消费者 Google 账号创建的 Google 群组。这些群组不归 Cloud Identity 或 Google Workspace 账号所有。这些群组的电子邮件地址通常以 googlegroups.com 结尾。 group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup 由 Cloud Identity 或 Google Workspace 账号拥有的 Google 群组 group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Cloud Identity 或 Google Workspace 账号。 domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal 员工身份池中的单个正文。 principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet 主账号集,包含员工身份池中的一组身份。例如,包含员工身份池中所有主账号的主账号集。
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal 工作负载身份池中的单个身份 principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet 主账号集,其中包含工作负载身份池中的一组身份。例如,包含工作负载身份池中所有主账号的主账号集。
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

任何服务账号。服务账号是一种特殊类型的账号,代表工作负载而非真人用户。

MemberTypeMatches 函数的上下文中,此主账号类型不包含服务代理

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent 任何服务代理。服务代理是一种特殊类型的服务账号,由 Google Cloud 创建和管理。服务代理在项目中被授予角色后,Google Cloud 服务便可代表您执行操作。 serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals 主账号 allUsersallAuthenticatedUsers
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference 根据授予的主账号的角色定义的主账号。这些正文也称为便捷值
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID

后续步骤