In Identity and Access Management (IAM) steuern Sie den Zugriff für Hauptkonten. Ein Prinzipal repräsentiert eine oder mehrere Identitäten, die sich bei Google Cloudauthentifiziert haben.
Principals in Richtlinien verwenden
So verwenden Sie Principals in Ihren Richtlinien:
Identitäten konfigurieren, die Google Cloud erkennen kann: Beim Konfigurieren von Identitäten werden Identitäten erstellt, die Google Cloud erkennen kann. Sie können Identitäten für Nutzer und für Arbeitslasten konfigurieren.
Informationen zum Konfigurieren von Identitäten finden Sie hier:
- Informationen zum Konfigurieren von Identitäten für Nutzer finden Sie unter Identitäten für Nutzer.
- Informationen zum Konfigurieren von Identitäten für Arbeitslasten finden Sie unter Identitäten für Arbeitslasten.
Hauptkonto-ID bestimmen: Die Hauptkonto-ID ist die Art und Weise, wie Sie in Ihren Richtlinien auf ein Hauptkonto verweisen. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.
Das Format, das Sie für die Hauptkonto-ID verwenden, hängt von Folgendem ab:
- Art des Hauptkontos
- Der Typ der Richtlinie, in die das Hauptkonto aufgenommen werden soll
Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Art von Richtlinie finden Sie unter Hauptkonto-IDs.
Nachdem Sie das Format der ID kennen, können Sie die eindeutige ID des Hauptkontos anhand der Attribute des Hauptkontos, z. B. der E‑Mail-Adresse des Hauptkontos, ermitteln.
Kennung des Hauptkontos in die Richtlinie aufnehmen: Fügen Sie Ihr Hauptkonto gemäß dem Format der Richtlinie hinzu.
Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.
Unterstützung für Hauptkontotypen
Jeder IAM-Richtlinientyp unterstützt eine Teilmenge der Hauptkontotypen, die von IAM unterstützt werden. Informationen zu den Hauptkontotypen, die für die einzelnen Richtlinientypen unterstützt werden, finden Sie unter Hauptkonto-IDs.
Hauptkontotypen
IAM unterstützt die folgenden Arten von Hauptkonten:
- Google-Konten
- Dienstkonten
- Google Groups
- Google Workspace-Konten
- Cloud Identity-Domains
allAuthenticatedUsers
allUsers
- Eine oder mehrere föderierte Identitäten in einem Workforce Identity-Pool
- Eine oder mehrere föderierte Identitäten in einem Workload Identity-Pool
- Eine Gruppe von Google Kubernetes Engine-Pods
- Resource Manager-Hauptkontosets (nur für Richtlinienbindungen zur Begrenzung des Hauptkontozugriffs)
In den folgenden Abschnitten werden diese Haupttypen näher beschrieben.
Google-Konten
Ein Google-Konto stellt einen Entwickler, einen Administrator oder eine andere Person dar, die mit Google Cloud interagiert und dafür ein Konto verwendet, das sie bei Google erstellt hat. Jede E-Mail-Adresse, die mit einem Google-Konto verknüpft ist, kann als Prinzipal verwendet werden. Diese Konten werden auch als verwaltete Nutzerkonten bezeichnet. Dazu gehören gmail.com
-E-Mail-Adressen und E-Mail-Adressen mit anderen Domains.
In Ihren Richtlinien zum Zulassen und Ablehnen werden E‑Mail-Aliasse, die mit einem Google-Konto oder einem verwalteten Nutzerkonto verknüpft sind, automatisch durch die primäre E‑Mail-Adresse ersetzt. Das bedeutet, dass in der Richtlinie die primäre E-Mail-Adresse des Nutzers angezeigt wird, wenn Sie Zugriff auf einen E-Mail-Alias gewähren.
Weitere Informationen zum Einrichten von Google-Konten finden Sie unter Cloud Identity- oder Google Workspace-Konten.
Dienstkonten
Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Wenn Sie Code ausführen, der aufGoogle Cloudgehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.
Weitere Informationen zu Dienstkonten finden Sie in der Übersicht zu Dienstkonten.
Google-Gruppen
Eine Google-Gruppe ist eine benannte Sammlung von Google-Konten. Jede Google-Gruppe hat eine eindeutige E-Mail-Adresse, die mit der Gruppe verknüpft ist. Die E-Mail-Adresse, die mit einer Google-Gruppe verknüpft ist, finden Sie auf der Startseite der jeweiligen Google-Gruppe unter Info. Weitere Informationen zu Google-Gruppen finden Sie auf der Startseite von Google-Gruppen.
Google-Gruppen sind eine bequeme Möglichkeit, um Zugriffskontrollen auf eine Sammlung von Identitäten anzuwenden. Sie können die Zugriffssteuerungen für eine ganze Gruppe auf einmal gewähren oder ändern, anstatt sie nacheinander für jeden einzelnen Prinzipal individuell zu gewähren oder zu ändern. Sie können auch Hauptkonten zu einer Google-Gruppe hinzufügen oder aus ihr entfernen, anstatt eine Zulassungsrichtlinie zu aktualisieren, um Hauptkonten hinzuzufügen oder zu entfernen.
Google-Gruppen haben keine Anmeldedaten. Außerdem können Sie Google-Gruppen nicht zum Feststellen der Identität für eine Anfrage zum Zugriff auf eine Ressource verwenden.
Weitere Informationen zur Verwendung von Gruppen für die Zugriffssteuerung finden Sie unter Best Practices für die Verwendung von Google-Gruppen.
Google Workspace-Konten
Ein Google Workspace-Konto stellt eine virtuelle Gruppe aller Google-Konten dar, die es enthält. Google Workspace-Konten sind mit dem Internetdomainnamen Ihrer Organisation verknüpft, z. B. example.com
. Wenn Sie ein Google-Konto für einen neuen Nutzer erstellen, z. B. username@example.com
, wird dieses Google-Konto der virtuellen Gruppe für Ihr Google Workspace-Konto hinzugefügt.
Wie Google-Gruppen können Google Workspace-Domains nicht zum Feststellen der Identität verwendet werden. Sie ermöglichen aber eine effektive Berechtigungsverwaltung.
Cloud Identity-Domains
Eine Cloud Identity-Domain ähnelt einem Google Workspace-Konto, weil sie eine virtuelle Gruppe aller Google-Konten in einer Organisation repräsentiert. Nutzer einer Cloud Identity-Domain haben jedoch keinen Zugriff auf Anwendungen und Features von Google Workspace. Unter Was ist Cloud Identity? erfahren Sie mehr zu diesem Thema.
In Ihren Zulassungs- und Ablehnungsrichtlinien werden sekundäre Domains automatisch durch die primäre Domain ersetzt. Das bedeutet, dass in der Richtlinie die primäre Domain angezeigt wird, wenn Sie Zugriff auf eine sekundäre Domain gewähren.
allAuthenticatedUsers
Der Wert allAuthenticatedUsers
ist eine spezielle Kennzeichnung für alle Dienstkonten und alle Nutzer im Internet, die sich mit einem Google-Konto authentifiziert haben. Diese Kennzeichnung schließt auch Konten ein, die nicht mit einem Google Workspace-Konto oder einer Cloud Identity-Domain verbunden sind, z. B. persönliche Gmail-Konten. Nicht authentifizierte Nutzer, wie anonyme Besucher, sind nicht eingeschlossen.
Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie die Mitarbeiteridentitätsföderation oder die Identitätsföderation von Arbeitslasten verwenden, verwenden Sie nicht allAuthenticatedUsers
. Verwenden Sie stattdessen eine der folgenden Optionen:
- Verwenden Sie
allUsers
, um Nutzer von allen IdPs einzubeziehen. - Wenn Sie Nutzer von bestimmten externen IdPs einbeziehen möchten, verwenden Sie die ID für alle Identitäten in einem workforce Identity-Pool oder alle Identitäten in einem Workload Identity-Pool.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
allUsers
Der Wert allUsers
ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
Föderierte Identitäten in einem Workforce Identity-Pool
Eine föderierte Identität in einem Workforce Identity-Pool ist eine Nutzeridentität, die von einem externen IdP verwaltet und mithilfe der Workforce Identity-Föderation föderiert wird. Sie können eine bestimmte Identität in einem Workforce Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Nutzeridentitäten in einem Workforce Identity-Pool angeben.
Föderierte Identitäten in einem Workload Identity-Pool
Eine föderierte Identität in einem Workload Identity-Pool ist eine Arbeitslastidentität, die von einem externen IdP verwaltet und mithilfe der Workload Identity-Föderation zusammengeführt wird. Sie können eine bestimmte Arbeitslastidentität in einem Workload Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Arbeitslastidentitäten in einem Workload Identity-Pool angeben.
GKE-Pods
Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Google Cloud Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.
Resource Manager-Hauptkontogruppen
Jede Resource Manager-Ressource (Projekte, Ordner und Organisationen) ist mit einer Reihe von Hauptkonten verknüpft. Wenn Sie Richtlinienbindungen für Principal Access Boundary-Richtlinien erstellen, können Sie den Hauptkontosatz für eine Resource Manager-Ressource verwenden, um auf alle Hauptkonten zu verweisen, die dieser Ressource zugeordnet sind.
Hauptkontosätze für Resource Manager-Ressourcen enthalten die folgenden Hauptkonten:
- Projekt-Hauptkontosatz: Alle Dienstkonten und Workload Identity-Pools im angegebenen Projekt.
- Ordner-Hauptkontosatz: Alle Dienstkonten und alle Workload Identity-Pools in einem beliebigen Projekt im angegebenen Ordner.
Hauptkontogruppe der Organisation: Enthält die folgenden Identitäten:
- Alle Identitäten in allen Domains, die Ihrer Google Workspace-Kunden-ID zugeordnet sind
- Alle Workforce Identity-Pools in Ihrer Organisation
- Alle Dienstkonten und Workload Identity-Pools in einem beliebigen Projekt in der Organisation
Nächste Schritte
- Von IAM unterstützte Richtlinientypen
- Einem Hauptkonto eine Rolle zuweisen für ein Resource Manager-Projekt, einen Ordner oder eine Organisation