对允许政策使用自定义组织政策

本页面介绍了如何使用组织政策服务自定义限制条件来限制对以下 Google Cloud 资源执行的特定操作:

  • iam.googleapis.com/AllowPolicy

如需详细了解组织政策,请参阅自定义组织政策

组织政策和限制条件简介

借助 Google Cloud 组织政策服务,您可以对组织的资源进行程序化集中控制。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。

组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在组织政策中使用这些自定义限制条件。

政策继承

如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策, Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则

优势

您可以使用引用 IAM 属性的自定义组织政策来控制如何修改允许政策。具体而言,您可以控制以下各项:

  • 可以授予角色的对象
  • 谁可以撤消角色
  • 可以授予哪些角色
  • 哪些角色可以被撤消

例如,您可以阻止将包含字词 admin 的角色授予电子邮件地址以 @gmail.com 结尾的主账号。

限制

  • 模拟运行模式下,引用 IAM 属性的自定义组织政策有一些限制。也就是说,涉及 setIamPolicy 方法的违规行为的审核日志可能会缺少以下字段:

    • resourceName
    • serviceName
    • methodName

  • 系统不会针对所有与 IAM 相关的自定义组织政策违规生成审核日志。也就是说,如果自定义组织政策导致对组织资源执行的 setIamPolicy 操作失败,Google Cloud 不会为该事件生成审核日志。

  • 引用 IAM 属性的自定义组织政策不会影响以下内容:

  • 即使您有自定义组织政策,禁止授予 Owner 角色 (roles/owner),也可以向用户发送邀请,邀请其成为所有者。不过,虽然自定义组织政策不会阻止发送邀请,但会阻止邀请的用户获得 Owner 角色。如果受邀用户尝试接受邀请,则会遇到错误,并且不会被授予 Owner 角色。

  • Google Cloud中的某些操作(例如创建资源或启用 API)涉及自动向服务代理默认服务账号授予角色。如果某个操作涉及自动授予角色,而组织政策阻止授予该角色,则整个操作可能会失败。

    如果您遇到此问题,可以使用标记暂时停用阻止角色授予的限制。然后,执行操作。操作完成后,重新启用该限制条件。

准备工作

  • 如果您想测试引用 IAM 资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流程。

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

所需的角色

如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

管理组织政策需要以下权限:

  • 针对组织的 orgpolicy.* 权限
  • 测试本页面所述的组织政策: 针对项目的 resourcemanager.projects.setIamPolicy

您也可以使用自定义角色或其他预定义角色来获取这些权限。

创建自定义限制条件

自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。

如需创建自定义限制条件,请使用以下格式创建 YAML 文件:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

替换以下内容:

  • ORGANIZATION_ID:您的组织 ID,例如 123456789

  • CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以 custom. 开头,只能包含大写字母、小写字母或数字。例如 custom.denyProjectIAMAdmin。该字段的最大长度为 70 个字符。

  • RESOURCE_NAME:包含要限制的对象和字段的Google Cloud 资源的完全限定名称。例如 iam.googleapis.com/AllowPolicy

  • CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如 resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))

  • ACTION:满足 condition 时要执行的操作。 可能的值包括 ALLOWDENY

  • DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。

  • DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。

如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件

设置自定义限制条件

为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

强制执行自定义组织政策

如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

控制台

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要设置组织政策的项目。
  3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
  4. 如需为该资源配置组织政策,请点击管理政策
  5. 修改政策页面,选择覆盖父级政策
  6. 点击添加规则
  7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
  8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
  9. 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
  10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

gcloud

如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

请替换以下内容:

  • PROJECT_ID:要对其实施限制条件的项目。
  • CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.denyProjectIAMAdmin

如需强制执行包含限制条件的组织政策,请运行以下命令: 

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

测试自定义组织政策

(可选)您可以通过设置组织政策,然后尝试执行该政策应禁止的操作来测试该组织政策。

创建限制条件

  1. 将以下文件保存为 constraint-deny-project-iam-admin

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    替换以下值:

    • ORG_ID:您的Google Cloud 组织的数字 ID。
    • MEMBER_EMAIL_ADDRESS:您要用来测试自定义限制条件的主账号的电子邮件地址。在限制条件处于有效状态期间,此主账号将无法在您强制执行限制条件的项目中获得 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin)。

  2. 应用限制条件:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. 验证限制条件存在:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

创建政策

  1. 将以下文件保存为 policy-deny-project-iam-admin.yaml

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    PROJECT_ID 替换为您的项目 ID。

  2. 应用政策:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. 验证政策存在:

    gcloud org-policies list --project=PROJECT_ID

应用政策后,请等待大约两分钟,以便 Google Cloud 开始强制执行政策。

测试政策

尝试向您在自定义限制条件中添加的电子邮件地址的主账号授予 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin)。在运行该命令之前,请替换以下值:

  • PROJECT_ID:您强制执行限制条件的项目的 ID Google Cloud
  • EMAIL_ADDRESS:您在创建组织政策限制条件时指定的主账号的电子邮件地址。
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

输出如下所示:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

常见用例的自定义组织政策示例

下表列出了一些常见用例的自定义限制条件的语法。

以下示例使用 CEL 宏 allexists。如需详细了解这些宏,请参阅用于评估列表的宏

说明 限制条件语法
屏蔽授予特定角色的权限。 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
仅允许授予特定角色。 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
禁止授予以 roles/storage. 开头的任何角色。 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
防止名称中包含 admin 的任何角色被撤消。 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
仅允许向特定主账号授予角色。 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
防止特定主账号撤消任何角色。 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
阻止以 @gmail.com 结尾的电子邮件地址的主账号获得角色。 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
仅允许授予特定角色,并且仅授予特定主账号。 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
防止向 allUsersallAuthenticatedUsers 授予 Cloud Storage 角色。 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
防止向组织外部的任何身份授予角色。 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
仅允许向服务账号授予角色。 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles

Identity and Access Management 支持的资源

IAM 支持 AllowPolicy 资源。此资源具有 resources.bindings 属性,该属性会针对修改资源的允许政策的所有方法返回。用于修改资源的允许政策的所有方法都以 setIamPolicy 结尾。

resource.bindings 属性具有以下结构,其中 BINDINGS 是在更改允许政策期间修改的角色绑定数组:

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings 中的每个绑定都具有以下结构,其中 ROLE 是角色绑定中的角色名称,MEMBERS 是添加到或从角色绑定中移除的所有主账号的标识符列表:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

如需查看主账号标识符的格式,请参阅主账号标识符

您只能使用受支持的函数来评估 resource.bindings 属性及其字段。不支持其他运算符和函数,例如 ==!=incontainsstartsWithendsWith

支持的函数

您可以使用以下 CEL 函数来评估绑定中的各个角色和成员。

如需评估 bindings 数组中的所有绑定或 members 数组中的所有成员,请使用 allexists 宏。如需了解详情,请参阅本页面上的用于评估列表的宏

您还可以使用逻辑运算符 && (and) 和 || (or) 编写多部分条件。

函数 说明
RoleNameMatches(
  role,
  roleNames: list
)   bool

如果角色 role 完全匹配 roleNames 中列出的至少一个角色,则返回 true

参数
role:要评估的角色。
roleNames:要进行匹配的角色名称列表。
示例

如果指定的 binding 中的 roleroles/storage.adminroles/compute.admin,则返回 true

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

如果角色 rolerolePrefixes 中列出的至少一个字符串开头,则返回 true

参数
role:要评估的角色。
rolePrefixes:一个字符串列表,用于与角色的开头部分进行匹配。
示例

如果指定的 binding 中的 roleroles/storage 开头,则返回 true

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

如果角色 roleroleSuffixes 中列出的至少一个字符串结尾,则返回 true

参数
role:要评估的角色。
roleSuffixes:一个字符串列表,用于与角色的末尾部分进行匹配。
示例

如果指定的 binding 中的 role.admin 结尾,则返回 true

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

如果角色 role 包含 roleSubstrings 中列出的至少一个字符串,则返回 true

参数
role:要评估的角色。
roleSubstrings:一个字符串列表,用于与角色的任何部分匹配。
示例

如果指定的 binding 中的 role 包含字符串 admin,则返回 true

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

如果成员 member 完全匹配 memberNames 中列出的至少一个成员,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行评估,而不会对该电子邮件地址的任何别名进行评估。

参数
member:要评估的成员。
memberNames:要进行匹配的成员名称列表。
示例

如果成员 memberrosario@example.com,则返回 true

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

如果成员 membermemberPrefixes 中列出的至少一个字符串开头,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行评估,而不会对该电子邮件地址的任何别名进行评估。

参数
member:要评估的成员。
memberPrefixes:要与成员名称开头部分匹配的字符串列表。
示例

如果成员 memberuser:prod- 开头,则返回 true

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

如果成员 membermemberSuffixes 中列出的至少一个字符串结尾,则返回 true

如果 member 的标识符是电子邮件地址,则此函数仅会对该电子邮件地址进行评估,而不会对该电子邮件地址的任何别名进行评估。

参数
member:要评估的成员。
memberSuffixes:一个字符串列表,用于与成员名称的末尾部分进行匹配。
示例

如果成员 member@example.com 结尾,则返回 true

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

如果成员属于列出的至少一个主账号集,则返回 true

参数
member:要评估的成员。

principalSets:主账号集的列表。为了使函数求值为 true,成员必须至少属于其中一个主账号集。

唯一支持的主账号集是组织主账号集,其格式为 //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID。在 MemberInPrincipalSet 函数中使用时,此主账号集包含以下主账号:

  • 与您的 Google Workspace 客户 ID 相关联的所有网域中的所有身份
  • 贵组织中的所有员工身份池
  • 组织中任何项目中的所有服务账号和工作负载身份池
  • 与贵组织中的资源相关联的所有服务代理
示例

如果成员member属于 ID 为 123456789012@example.com 组织,则返回 true

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

如果成员是列出的主账号类型之一,则返回 true

参数
member:要评估的成员。
principalType:主账号类型列表。为了使函数求值为 true,成员必须是列出的主账号类型之一。如需了解支持哪些主账号类型,请参阅支持的 MemberTypeMatches 主账号类型
示例

如果成员 member 具有主账号类型 iam.googleapis.com/WorkspacePrincipaliam.googleapis.com/WorkspaceGroup,则返回 true

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

用于评估列表的宏

使用 allexists 宏可对列表项的条件表达式进行求值。

说明
list.all(
  item,
  conditionExpression
)   bool

如果 list 中的每个 itemconditionExpression 计算结果为 true,则返回 true

此宏通常用于包含 actionType ALLOW 的自定义组织政策。例如,您可以使用此宏来确保仅当所有修改的主账号都满足条件时,才允许执行操作。

参数
list:要评估的项的列表。
item:要评估的列表项。例如,如果您对列表 resource.bindings 调用此方法,请使用值 binding
conditionExpression:用于评估每个 item 的条件表达式。
示例

如果 resource.bindings 中的所有绑定都具有以 roles/storage. 开头的角色,则返回 true。如果任一绑定的角色不以 roles/storage. 开头,则返回 false

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

如果 list 中的任意 itemconditionExpression 评估结果为 true,则返回 true

此宏通常用于包含 actionType DENY 的自定义组织政策。例如,您可以使用此宏来确保,如果任何已修改的正文满足条件,则拒绝相应操作。

参数
list:要评估的项的列表。
item:要评估的列表项。例如,如果您对列表 resource.bindings 调用此方法,请使用值 binding
conditionExpression:用于评估每个 item 的条件表达式。
示例

如果 resource.bindings 中的任一绑定具有以 roles/storage. 开头的角色,则返回 true。如果所有绑定都没有以 roles/storage. 开头的角色,则返回 false

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

包含嵌套列表的条件

一般来说,如果条件包含嵌套列表,则应对条件中的所有列表使用相同的宏。

请参考以下示例:

  • 如果您的政策包含 actionType ALLOW,请对 members 列表和 bindings 列表都使用 all 宏,以确保只有在所有修改后的绑定中的所有成员都满足条件时,才允许修改政策。
  • 如果您的政策包含 actionType DENY,请对 members 列表和 bindings 列表都使用 exists 宏,以确保在任何已修改的绑定中的任何成员满足条件时,不允许进行政策修改。

在单个条件中混用宏可能会导致条件无法按预期执行。

例如,假设您想禁止向 example.com 组织以外的成员授予角色。example.com 组织的 ID 为 123456789012

为实现此目标,您可以编写以下条件:

不建议 - 配置错误的条件

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

此条件似乎会阻止向 example.com 组织以外的成员授予角色。不过,如果每个修改后的角色绑定中都存在成员位于 example.com 组织中,则该条件的求值结果为 true。因此,如果您同时向 example.com 组织中的成员授予相同的角色,则仍可以向 example.com 组织之外的成员授予角色。

例如,对于以下一组绑定,条件会评估为 true,即使其中一个成员不在 example.com 组织中:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

您应该编写如下条件:

推荐 - 正确配置的条件

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

members.bindings 数组和 resource.bindings 数组都使用 all 宏可确保只有在所有绑定的所有成员都在 example.com 主账号集中时,条件才会评估为 true

MemberTypeMatches 支持的主账号类型

MemberTypeMatches 函数要求您指定指定成员必须匹配的主账号类型。

下表列出了您可以输入的主账号类型,并说明了主账号类型所代表的内容。它还会列出与每种主账号类型相对应的主账号标识符。这些标识符是 IAM 政策中使用的值。

主账号类型 说明 主账号标识符
iam.googleapis.com/ConsumerPrincipal 个人 Google 账号。这些账号的电子邮件地址通常以 gmail.com 结尾。 user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal 属于 Cloud Identity 或 Google Workspace 账号的 Google 账号。这些账号也称为受管理的用户账号 user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup 由个人 Google 账号创建的 Google 群组。这些群组不归 Cloud Identity 或 Google Workspace 账号所有。这些群组的电子邮件地址通常以 googlegroups.com 结尾。 group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup 由 Cloud Identity 或 Google Workspace 账号拥有的 Google 群组 group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Cloud Identity 或 Google Workspace 账号。 domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal 员工身份池中的单个主账号。 principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet 员工身份池中包含一组身份的主账号集。例如,包含员工身份池中的所有主账号的主账号集。
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal 工作负载身份池中的单一身份。 principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet 工作负载身份池中包含一组身份的主账号集。例如,包含工作负载身份池中的所有主账号的主账号集。
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

任何服务账号。服务账号是一种特殊类型的账号,代表工作负载,而非真人用户。

MemberTypeMatches 函数的上下文中,此主账号类型不包含服务代理

 serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent 任何服务代理。服务代理是一种特殊的服务账号,由 Google Cloud 创建和管理。在项目中授予角色后,服务代理可让 Google Cloud 服务代表您执行操作。 serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals 主账号 allUsersallAuthenticatedUsers
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference 基于授予其的角色而定义的主账号。这些正文也称为“便利值”。
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal 具有内置身份的资源。 单个资源的主账号标识符中列出的任何主账号标识符。
iam.googleapis.com/ResourcePrincipalSet 具有内置身份的资源,这些资源具有某些共同特征,例如类型或祖先。 资源集的主账号标识符中列出的任何标识符。

后续步骤