Esta página foi traduzida pela API Cloud Translation.

Partilha restrita ao domínio

A partilha restrita ao domínio permite-lhe limitar a partilha de recursos com base num domínio ou num recurso da organização. Quando a partilha restrita ao domínio está ativa, só é possível conceder funções do IAM na sua Google Cloud organização a principais que pertencem a domínios ou organizações permitidos.

Métodos para restringir a partilha por domínio

Existem várias formas de usar o serviço de políticas da organização para limitar a partilha de recursos com base no domínio ou no recurso da organização:

A iam.managed.allowedPolicyMembersrestrição gerida: pode aplicar esta restrição gerida para permitir que as funções sejam concedidas apenas aos principais e aos conjuntos de principais que listar na restrição.

Com esta restrição gerida, indica os responsáveis e os conjuntos de responsáveis aos quais quer permitir que sejam concedidas funções. Para permitir que as funções sejam concedidas a todos os responsáveis na sua organização, inclua o conjunto de responsáveis da organização na restrição.

Para saber como definir esta restrição, consulte o artigo Use a restrição iam.managed.allowedPolicyMembers para implementar a partilha restrita ao domínio.
Uma política da organização personalizada que faça referência ao recurso iam.googleapis.com/AllowPolicy: pode usar uma política da organização personalizada para permitir que as funções sejam concedidas apenas a um conjunto específico de responsáveis.

Na maioria dos casos, deve usar a restrição gerida iam.managed.allowedPolicyMembers em vez de uma política da organização personalizada. No entanto, as seguintes opções de configuração só estão disponíveis se usar políticas da organização personalizadas:
- Configurar responsáveis permitidos com base no tipo de membro
- Impedir que sejam concedidas funções a determinados responsáveis
- Permitir que as funções sejam concedidas a principais especiais, como allUsers e allAuthenticatedUsers
Para configurar a partilha restrita a domínios com políticas organizacionais personalizadas, use as seguintes funções CEL para definir quem pode receber uma função na sua organização:
Para permitir que as funções sejam concedidas a todos os responsáveis na sua organização, especifique o conjunto de responsáveis da sua organização na função memberInPrincipalSet. Inclua o conjunto de responsáveis da organização na restrição.

Para saber como criar políticas de organização personalizadas com estas funções CEL, consulte o artigo Use políticas de organização personalizadas para implementar a partilha restrita a domínios.
A iam.allowedPolicyMemberDomainsrestrição gerida antiga: pode aplicar esta restrição gerida antiga para permitir que as funções sejam concedidas apenas a principais na sua organização. Pode limitar o acesso com base no ID do recurso da sua organização ou no ID de cliente do Google Workspace. Para ver as diferenças entre estes identificadores, consulte ID do recurso da organização versus ID do cliente do Google Workspace nesta página.

Esta restrição não lhe permite configurar exceções para determinados diretores. Por exemplo, imagine que tem de conceder uma função a um agente de serviço numa organização que aplica a restrição iam.allowedPolicyMemberDomains. Os agentes do serviço são criados e geridos pela Google, pelo que não fazem parte da sua organização, da sua conta do Google Workspace nem do seu domínio do Cloud ID. Como resultado, para conceder uma função ao agente do serviço, tem de desativar a restrição, conceder a função e, em seguida, reativar a restrição.

Pode substituir a política da organização ao nível da pasta ou do projeto para alterar os utilizadores aos quais é permitido conceder funções em pastas ou projetos. Para mais informações, consulte o artigo Substitua a política da organização para um projeto.

Para saber como definir esta restrição, consulte o artigo Use a restrição iam.allowedPolicyMemberDomains para implementar a partilha restrita ao domínio.

Nota: se a sua organização foi criada a 3 de maio de 2024 ou após essa data, a restrição predefinida iam.allowedPolicyMemberDomains é aplicada por predefinição, com o seu domínio indicado como o único valor permitido.

Como funciona a partilha restrita ao domínio

Quando usa uma política da organização para aplicar a partilha restrita por domínio, não é possível conceder funções do IAM na sua organização a nenhum principal fora dos domínios e indivíduos que especificar.

As secções seguintes descrevem alguns detalhes importantes sobre o funcionamento das restrições de partilha com restrições de domínio na sua organização.

As restrições não são retroativas

As restrições da política da organização não são retroativas. Depois de definir uma restrição de domínio, a limitação aplica-se a alterações de políticas de autorização feitas a partir desse momento e não a alterações anteriores.

Por exemplo, considere duas organizações relacionadas: examplepetstore.com e altostrat.com. Concedeu uma identidade examplepetstore.com uma função da IAM em altostrat.com. Mais tarde, decidiu restringir as identidades por domínio e implementou uma política da organização com a restrição de domínio em altostrat.com. Neste caso, as identidades existentes não perdem o acesso em altostrat.com. A partir desse momento, só pode conceder funções do IAM a identidades do domínio altostrat.com.examplepetstore.com

As restrições aplicam-se sempre que uma política IAM é definida

As restrições de domínios aplicam-se a todas as ações em que é definida uma política de IAM. Isto inclui ações automatizadas. Por exemplo, as restrições aplicam-se a alterações que um agente de serviço faz em resposta a outra ação. Por exemplo, se tiver um serviço automatizado que importe conjuntos de dados do BigQuery, um agente de serviço do BigQuery faz alterações à política de IAM no conjunto de dados recém-criado. Esta ação seria restrita pela restrição do domínio e bloqueada.

As restrições não incluem automaticamente o seu domínio

O domínio da sua organização não é adicionado automaticamente à lista de endereços permitidos de uma política quando define a restrição de domínio. Para permitir que os principais no seu domínio recebam funções do IAM na sua organização, tem de adicionar o seu domínio explicitamente. Se não adicionar o seu domínio e a função de administrador da política da organização (roles/orgpolicy.policyAdmin) for removida de todos os utilizadores no seu domínio, a política da organização torna-se inacessível.

Grupos Google e partilha restrita por domínio

Se a restrição de domínio for aplicada na sua organização, pode não conseguir conceder funções a grupos Google criados recentemente, mesmo que os grupos pertençam a um domínio permitido. Isto deve-se ao facto de a propagação completa de um grupo através do Google Cloudpoder demorar até 24 horas. Se não conseguir atribuir uma função a um grupo Google criado recentemente, aguarde 24 horas e, em seguida, tente novamente.

Além disso, quando avalia se um grupo pertence a um domínio permitido, o IAM avalia apenas o domínio do grupo. Não avalia os domínios de nenhum dos membros do grupo. Como resultado, os administradores do projeto podem ignorar a restrição de domínio adicionando membros externos a grupos Google e, em seguida, concedendo funções a esses grupos Google.

Para garantir que os administradores do projeto não podem ignorar a restrição do domínio, o administrador do Google Workspace deve garantir que os proprietários do grupo não podem permitir membros externos ao domínio no painel de administração do Google Workspace.

ID do recurso da organização versus ID de cliente do Google Workspace

Se usar a restrição gerida antiga para implementar a partilha restrita ao domínio, pode limitar o acesso com base no ID do recurso da sua organização ou no ID do cliente do Google Workspace.iam.allowedPolicyMemberDomains

A utilização do ID do recurso da sua organização permite que os seguintes responsáveis recebam funções na sua organização:

Todos os Workload Identity Pools na sua organização
Todas as contas de serviço e Workload Identity Pools em qualquer projeto na organização
Todos os agentes de serviço associados a recursos na sua organização

A utilização do seu ID de cliente do Google Workspace permite que os seguintes diretores recebam funções na sua organização:

Todas as identidades em todos os domínios, incluindo subdomínios, associados ao seu ID de cliente do Google Workspace
Todos os Workload Identity Pools na sua organização
Todas as contas de serviço e Workload Identity Pools em qualquer projeto na organização
Todos os agentes de serviço associados a recursos na sua organização.

Se quiser implementar a partilha restrita ao domínio para subdomínios específicos, tem de criar uma conta do Google Workspace separada para cada subdomínio. Para mais informações sobre a gestão de várias contas do Google Workspace, consulte o artigo Gerir várias organizações.