Diese Seite wurde von der Cloud Translation API übersetzt.

Domaineingeschränkte Freigabe

Mit der Domaineinschränkung können Sie die Ressourcenfreigabe auf Grundlage einer Domain- oder Organisationsressource beschränken. Wenn die bereichsspezifische Freigabe aktiv ist, können nur Hauptkonten, die zu zulässigen Domains oder Organisationen gehören, IAM-Rollen in Ihrer Google Cloud -Organisation gewährt werden.

Methoden zur Einschränkung der Freigabe nach Domain

Mit dem Organisationsrichtliniendienst können Sie die Ressourcenfreigabe auf Grundlage der Domain- oder Organisationsressource auf verschiedene Arten einschränken:

Eine benutzerdefinierte Organisationsrichtlinie, die auf die Ressource iam.googleapis.com/AllowPolicy verweist: Mit einer benutzerdefinierten Organisationsrichtlinie können Rollen nur einer bestimmten Gruppe von Hauptkonten gewährt werden.

Bei dieser Methode definieren Sie mit den folgenden CEL-Funktionen, wer eine Rolle in Ihrer Organisation erhalten kann:
Wenn Sie allen Hauptkonten in Ihrer Organisation Rollen zuweisen möchten, müssen Sie in der memberInPrincipalSet-Funktion das Hauptkonto der Organisation angeben, das in der Einschränkung festgelegt ist.

Weitere Informationen zum Erstellen benutzerdefinierter Organisationsrichtlinien mit diesen CEL-Funktionen finden Sie unter Mit benutzerdefinierten Organisationsrichtlinien die freigabebeschränkte Domain implementieren.
Die verwaltete Einschränkung iam.managed.allowedPolicyMembers: Sie können diese verwaltete Einschränkung erzwingen, damit Rollen nur den Hauptkonten und Hauptkontosätzen zugewiesen werden, die Sie in der Einschränkung angeben.

Mit dieser verwalteten Einschränkung können Sie die Hauptkonten und Hauptkontosätze auflisten, denen Rollen zugewiesen werden dürfen. Diese Methode ist jedoch weniger flexibel als die Verwendung benutzerdefinierter Organisationsrichtlinien. Sie können beispielsweise keine zulässigen Hauptkonten basierend auf dem Mitgliedstyp konfigurieren oder verhindern, dass bestimmten Hauptkonten Rollen zugewiesen werden.

Wenn Rollen allen Hauptkonten in Ihrer Organisation zugewiesen werden sollen, müssen Sie den Hauptkontensatz der Organisation in die Einschränkung aufnehmen.

Informationen zum Festlegen dieser Einschränkung finden Sie unter Mit der Einschränkung iam.managed.allowedPolicyMembers die freigabe auf bestimmte Domains beschränken.
Die vordefinierte Einschränkung iam.allowedPolicyMemberDomains: Sie können diese vordefinierte Einschränkung erzwingen, um zuzulassen, dass Rollen nur Hauptkonten in Ihrer Organisation gewährt werden. Sie können den Zugriff basierend auf der ID Ihrer Organisationsressource oder Ihrer Google Workspace-Kundennummer einschränken. Unterschiede zwischen diesen Kennungen finden Sie auf dieser Seite unter Organisationsressourcen-ID im Vergleich zur Google Workspace-Kundennummer.

Mit dieser Einschränkung können Sie keine Ausnahmen für bestimmte Berechtigungsinhaber konfigurieren. Angenommen, Sie müssen einem Kundenservicemitarbeiter in einer Organisation eine Rolle zuweisen, in der die Einschränkung iam.allowedPolicyMemberDomains erzwungen wird. Dienst-Agents werden von Google erstellt und verwaltet. Sie sind also nicht Teil Ihrer Organisation, Ihres Google Workspace-Kontos oder Ihrer Cloud Identity-Domain. Wenn Sie dem Dienst-Agent also eine Rolle zuweisen möchten, müssen Sie die Einschränkung deaktivieren, die Rolle zuweisen und die Einschränkung dann wieder aktivieren.

Sie können die Organisationsrichtlinie auf Ordner- oder Projektebene überschreiben, um zu ändern, welchen Nutzern Rollen in welchen Ordnern oder Projekten zugewiesen werden dürfen. Weitere Informationen finden Sie unter Organisationsrichtlinie für ein Projekt überschreiben.

Informationen zum Festlegen dieser Einschränkung finden Sie unter Mit der Einschränkung iam.allowedPolicyMemberDomains die freigabe auf bestimmte Domains beschränken.

Hinweis: Wenn Ihre Organisation am oder nach dem 3. Mai 2024 erstellt wurde, wird die vordefinierte Einschränkung iam.allowedPolicyMemberDomains standardmäßig erzwungen. Ihre Domain ist dann der einzige zulässige Wert.

So funktioniert die domaineingeschränkte Freigabe

Wenn Sie eine Organisationsrichtlinie verwenden, um die domainbasierte Freigabe zu erzwingen, können keinem Nutzer außerhalb der von Ihnen angegebenen Domains und Personen IAM-Rollen in Ihrer Organisation zugewiesen werden.

In den folgenden Abschnitten werden einige wichtige Details dazu beschrieben, wie Einschränkungen für die Freigabe auf Domainebene in Ihrer Organisation funktionieren.

Einschränkungen gelten nicht rückwirkend.

Einschränkungen für Organisationsrichtlinien sind nicht rückwirkend. Nachdem eine Domaineinschränkung festgelegt wurde, gilt die Einschränkung für Änderungen der Richtlinien, die ab diesem Zeitpunkt vorgenommen werden, und nicht für vorherige Änderungen.

Angenommen, Sie haben zwei verwandte Organisationen: examplepetstore.com und altostrat.com. Sie haben einer examplepetstore.com-Identität eine IAM-Rolle in altostrat.com zugewiesen. Später haben Sie beschlossen, Identitäten nach Domain einzuschränken, und in altostrat.com eine Organisationsrichtlinie mit der Domaineinschränkung implementiert. In diesem Fall verlieren die vorhandenen examplepetstore.com-Identitäten nicht den Zugriff auf altostrat.com. Ab diesem Zeitpunkt können Sie IAM-Rollen nur noch Identitäten aus der Domain altostrat.com gewähren.

Einschränkungen gelten immer, wenn eine IAM-Richtlinie festgelegt ist.

Domaineinschränkungen gelten für alle Aktionen, für die eine IAM-Richtlinie festgelegt ist. Dazu gehören auch automatische Aktionen. Die Einschränkungen gelten beispielsweise für Änderungen, die ein Kundenservicemitarbeiter als Reaktion auf eine andere Aktion vornimmt. Wenn Sie beispielsweise einen automatisierten Dienst haben, der BigQuery-Datasets importiert, nimmt ein BigQuery-Dienst-Agent Änderungen an der IAM-Richtlinie für das neu erstellte Dataset vor. Diese Aktion würde durch die Domaineinschränkung eingeschränkt und blockiert werden.

Ihre Domain wird nicht automatisch in Einschränkungen eingeschlossen

Die Domain Ihrer Organisation wird nicht automatisch in die Zulassungsliste einer Richtlinie aufgenommen, wenn Sie die Domaineinschränkung festlegen. Damit Hauptpersonen in Ihrer Domain IAM-Rollen in Ihrer Organisation zugewiesen werden können, müssen Sie Ihre Domain explizit hinzufügen. Wenn Sie Ihre Domain nicht hinzufügen und die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) allen Nutzern in Ihrer Domain entzogen wird, ist die Organisationsrichtlinie nicht mehr zugänglich.

Google-Gruppen und domaineingeschränkte Freigabe

Wenn die Domaineinschränkung in Ihrer Organisation erzwungen wird, können Sie neu erstellten Google-Gruppen möglicherweise keine Rollen zuweisen, auch wenn die Gruppen zu einer zulässigen Domain gehören. Das liegt daran, dass es bis zu 24 Stunden dauern kann, bis eine Gruppe vollständig in Google Cloudübernommen wurde. Wenn Sie einer neu erstellten Google-Gruppe keine Rolle zuweisen können, warten Sie 24 Stunden und versuchen Sie es dann noch einmal.

Außerdem wird bei der Prüfung, ob eine Gruppe zu einer zulässigen Domain gehört, nur die Domain der Gruppe ausgewertet. Die Domains der Mitglieder der Gruppe werden nicht ausgewertet. Projektadministratoren können die Domaineinschränkung umgehen, indem sie Google-Gruppen externe Mitglieder hinzufügen und diesen Google-Gruppen dann Rollen zuweisen.

Damit Projektadministratoren die Domaineinschränkung nicht umgehen können, sollte der Google Workspace-Administrator dafür sorgen, dass Gruppeninhaber Mitgliedern von außerhalb der Domain keinen Zugriff auf den Administratorbereich in Google Workspace gewähren können.

Organisationsressourcen-ID und Google Workspace-Kundennummer

Wenn Sie die vordefinierte Einschränkung iam.allowedPolicyMemberDomains verwenden, um die domaineingeschränkte Freigabe zu implementieren, können Sie den Zugriff entweder anhand der Organisationsressourcen-ID oder der Google Workspace-Kundennummer einschränken.

Wenn Sie die Ressourcen-ID Ihrer Organisation verwenden, können den folgenden Hauptpersonen Rollen in Ihrer Organisation zugewiesen werden:

Alle Pools der Mitarbeiteridentitätsföderation in Ihrer Organisation
Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind

Mithilfe Ihrer Google Workspace-Kundennummer können den folgenden Hauptpersonen Rollen in Ihrer Organisation zugewiesen werden:

Alle Identitäten in allen Domains, einschließlich Subdomains, die mit Ihrer Google Workspace-Kundennummer verknüpft sind
Alle Pools der Mitarbeiteridentitätsföderation in Ihrer Organisation
Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind.

Wenn Sie die gruppenweite Freigabe für bestimmte Subdomains einrichten möchten, müssen Sie für jede Subdomain ein separates Google Workspace-Konto erstellen. Weitere Informationen zum Verwalten mehrerer Google Workspace-Konten finden Sie unter Mehrere Organisationen verwalten.