IAM-Hauptkonten

Mit Identity and Access Management (IAM) steuern Sie den Zugriff für Principals. Ein Hauptkonto stellt eine oder mehrere Identitäten dar, die sich bei Google Cloudauthentifiziert haben.

Prinzipale in Ihren Richtlinien verwenden

So verwenden Sie Principals in Ihren Richtlinien:

1. Konfigurieren Sie Identitäten, die von Google Cloud erkannt werden können. Beim Konfigurieren von Identitäten werden Identitäten erstellt, die von Google Cloud erkannt werden können. Sie können Identitäten für Nutzer und Arbeitslasten konfigurieren.

   Informationen zum Konfigurieren von Identitäten finden Sie hier:

   • Informationen zum Konfigurieren von Identitäten für Nutzer finden Sie unter Identitäten für Nutzer.
   • Informationen zum Konfigurieren von Identitäten für Arbeitslasten finden Sie unter Identitäten für Arbeitslasten.

2. Bestimmen Sie die zu verwendende Haupt-ID. Mit der Identität des Hauptkontos verweisen Sie in Ihren Richtlinien auf ein Hauptkonto. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.

   Das Format, das Sie für die Hauptkonto-ID verwenden, hängt von Folgendem ab:

   • Der Typ des Hauptkontos
   • Der Typ der Richtlinie, in der Sie das Hauptkonto einschließen möchten

   Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Richtlinienart finden Sie unter Hauptkonto-Kennungen.

   Wenn Sie das Format der Kennung kennen, können Sie die eindeutige Kennung des Hauptkontos anhand der Attribute des Hauptkontos ermitteln, z. B. anhand der E-Mail-Adresse des Hauptkontos.

3. Fügen Sie die Kennung des Hauptkontos in Ihre Richtlinie ein. Fügen Sie Ihrem Hauptkonto die Richtlinie gemäß dem Format der Richtlinie hinzu.

   Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.

Unterstützung für Hauptkontotypen

Jeder IAM-Richtlinientyp unterstützt einen Teil der von IAM unterstützten Hauptkontentypen. Informationen zu den für jeden Richtlinientyp unterstützten Hauptkontotypen finden Sie unter Hauptkonto-IDs.

Hauptkontotypen

IAM unterstützt die folgenden Hauptkontentypen:

• Google-Konten
• Dienstkonten
• Google Groups
• Google Workspace-Konten
• Cloud Identity-Domains
• allAuthenticatedUsers
• allUsers
• Eine oder mehrere föderierte Identitäten in einem Workforce Identity-Pool
• Eine oder mehrere föderierte Identitäten in einem Workload Identity-Pool
• Eine Reihe von Google Kubernetes Engine-Pods
• Resource Manager-Hauptsatzgruppen (nur für Bindungen an Richtlinien zur Begrenzung des Hauptkontozugriffs)

Diese Haupttypen werden in den folgenden Abschnitten näher beschrieben.

Google-Konten

Ein Google-Konto stellt einen Entwickler, einen Administrator oder eine andere Person dar, die mit Google Cloud interagiert, indem sie ein bei Google erstelltes Konto verwendet. Jede E-Mail-Adresse, die mit einem Google-Konto verknüpft ist (auch verwaltetes Nutzerkonto genannt), kann als Hauptbenutzer verwendet werden. Dazu gehören gmail.com E-Mail-Adressen und E-Mail-Adressen mit anderen Domains.

Weitere Informationen zum Einrichten von Google-Konten finden Sie unter Cloud Identity- oder Google Workspace-Konten.

Dienstkonten

Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Wenn Sie Code ausführen, der aufGoogle Cloudgehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.

Weitere Informationen zu Dienstkonten finden Sie unter Dienstkontenübersicht.

Google-Gruppen

Eine Google-Gruppe ist eine benannte Sammlung von Google-Konten. Jede Google-Gruppe hat eine eindeutige E-Mail-Adresse, die mit der Gruppe verknüpft ist. Die E-Mail-Adresse, die mit einer Google-Gruppe verknüpft ist, finden Sie auf der Startseite der jeweiligen Google-Gruppe unter Info. Weitere Informationen zu Google-Gruppen finden Sie auf der Startseite von Google-Gruppen.

Google-Gruppen sind eine bequeme Möglichkeit, Zugriffssteuerungen auf eine Sammlung von Hauptpersonen anzuwenden. Sie können die Zugriffssteuerungen für eine ganze Gruppe auf einmal gewähren oder ändern, anstatt sie nacheinander für jeden einzelnen Nutzer oder jedes Dienstkonto individuell zu gewähren oder zu ändern. Sie können auch Hauptkonten zu einer Google-Gruppe hinzufügen oder aus ihr entfernen. Das ist einfacher, als Zugriffsrichtlinien zu aktualisieren, um Hauptkonten hinzuzufügen oder zu entfernen.

Google-Gruppen haben keine Anmeldedaten. Außerdem können Sie Google-Gruppen nicht zum Feststellen der Identität für eine Anfrage zum Zugriff auf eine Ressource verwenden.

Weitere Informationen zur Verwendung von Gruppen für die Zugriffssteuerung finden Sie unter Best Practices für die Verwendung von Google-Gruppen.

Google Workspace-Konten

Ein Google Workspace-Konto stellt eine virtuelle Gruppe aller Google-Konten dar, die es enthält. Google Workspace-Konten sind mit dem Internetdomainnamen Ihrer Organisation verknüpft, z. B. example.com. Wenn Sie ein Google-Konto für einen neuen Nutzer erstellen, z. B. username@example.com, wird dieses Google-Konto der virtuellen Gruppe für Ihr Google Workspace-Konto hinzugefügt.

Wie Google-Gruppen können Google Workspace-Domains nicht zum Feststellen der Identität verwendet werden. Sie ermöglichen aber eine effektive Berechtigungsverwaltung.

Cloud Identity-Domains

Eine Cloud Identity-Domain ähnelt einem Google Workspace-Konto, weil sie eine virtuelle Gruppe aller Google-Konten in einer Organisation repräsentiert. Nutzer einer Cloud Identity-Domain haben jedoch keinen Zugriff auf Anwendungen und Features von Google Workspace. Unter Was ist Cloud Identity? erfahren Sie mehr zu diesem Thema.

allAuthenticatedUsers

Der Wert allAuthenticatedUsers ist eine spezielle Kennzeichnung für alle Dienstkonten und alle Nutzer im Internet, die sich mit einem Google-Konto authentifiziert haben. Diese Kennzeichnung schließt auch Konten ein, die nicht mit einem Google Workspace-Konto oder einer Cloud Identity-Domain verbunden sind, z. B. persönliche Gmail-Konten. Nicht authentifizierte Nutzer, wie anonyme Besucher, sind nicht eingeschlossen.

Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie die Mitarbeiteridentitätsföderation oder die Identitätsföderation von Arbeitslasten verwenden, verwenden Sie nicht allAuthenticatedUsers. Verwenden Sie stattdessen eine der folgenden Optionen:

• Verwenden Sie allUsers, um Nutzer von allen IdPs einzubeziehen.
• Wenn Sie Nutzer von bestimmten externen IdPs einbeziehen möchten, verwenden Sie die ID für alle Identitäten in einem workforce Identity-Pool oder alle Identitäten in einem Workload Identity-Pool.

Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.

allUsers

Der Wert allUsers ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.

Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.

Föderierte Identitäten in einem Workforce Identity-Pool

Eine föderierte Identität in einem Workforce Identity-Pool ist eine Nutzeridentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workforce Identity-Föderation föderiert wird. Sie können eine bestimmte Identität in einem Workforce Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Nutzeridentitäten in einem Workforce Identity-Pool angeben.

Föderierte Identitäten in einem Workload Identity-Pool

Eine föderierte Identität in einem Workload Identity-Pool ist eine Arbeitslastidentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workload Identity-Föderation föderiert wird. Sie können eine bestimmte Arbeitslastidentität in einem Workload Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Arbeitslastidentitäten in einem Workload Identity-Pool angeben.

GKE-Pods

Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Google Cloud -Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.

Resource Manager-Hauptkontogruppen

Jede Resource Manager-Ressource (Projekte, Ordner und Organisationen) ist mit einer Reihe von Hauptkonten verknüpft. Wenn Sie Richtlinienbindungen für Principal Access Boundary-Richtlinien erstellen, können Sie den Hauptkontosatz für eine Resource Manager-Ressource verwenden, um auf alle mit dieser Ressource verknüpften Hauptkonten zu verweisen.

Hauptkontosätze für Resource Manager-Ressourcen enthalten die folgenden Hauptkonten:

• Projekt-Hauptkonto-Set: Alle Dienstkonten und Workload Identity-Pools im angegebenen Projekt.
• Ordner-Hauptkonto festgelegt: Alle Dienstkonten und alle Workload Identity-Pools in allen Projekten im angegebenen Ordner.

• Hauptkontogruppe der Organisation: Enthält die folgenden Identitäten:

  • Alle Identitäten in allen Domains, die mit Ihrer Google Workspace-Kunden-ID verknüpft sind
  • Alle Pools der Mitarbeiteridentitätsföderation in Ihrer Organisation
  • Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation

Nächste Schritte

• Informationen zu den von IAM unterstützten Richtlinientypen
• Einem Hauptkonto eine Rolle für ein Resource Manager-Projekt, einen Resource Manager-Ordner oder eine Resource Manager-Organisation zuweisen