Cette page a été traduite par l'API Cloud Translation.

Partage restreint au domaine

Le partage restreint de domaine vous permet de limiter le partage de ressources en fonction d'une ressource de domaine ou d'organisation. Lorsque le partage limité au domaine est activé, seuls les principaux appartenant à des domaines ou à des organisations autorisés peuvent se voir attribuer des rôles IAM dans votre organisation Google Cloud .

Méthodes pour restreindre le partage par domaine

Vous pouvez utiliser le service de règles d'administration pour limiter le partage de ressources en fonction du domaine ou de la ressource de l'organisation de plusieurs façons:

Une stratégie d'administration personnalisée référençant la ressource iam.googleapis.com/AllowPolicy: vous pouvez utiliser une stratégie d'administration personnalisée pour n'autoriser l'attribution de rôles qu'à un ensemble spécifique de comptes principaux.

Avec cette méthode, vous utilisez les fonctions CEL suivantes pour définir qui peut se voir attribuer un rôle dans votre organisation:
Pour autoriser l'attribution de rôles à tous les comptes principaux de votre organisation, spécifiez le compte principal de votre organisation défini dans la fonction memberInPrincipalSet, y compris le compte principal de l'organisation défini dans la contrainte.

Pour savoir comment créer des règles d'administration personnalisées à l'aide de ces fonctions CEL, consultez Utiliser des règles d'administration personnalisées pour implémenter le partage limité au domaine.
Contrainte gérée iam.managed.allowedPolicyMembers: vous pouvez appliquer cette contrainte gérée pour n'autoriser l'attribution de rôles qu'aux comptes principaux et aux ensembles de comptes principaux que vous listez dans la contrainte.

Avec cette contrainte gérée, vous listez les comptes principaux et les ensembles de comptes principaux auxquels vous souhaitez autoriser l'attribution de rôles. Toutefois, cette méthode est moins flexible que l'utilisation de règles d'administration personnalisées. Par exemple, vous ne pouvez pas configurer les comptes principaux autorisés en fonction du type de membre, ni empêcher l'attribution de rôles à des comptes principaux spécifiques.

Pour autoriser l'attribution de rôles à tous les comptes principaux de votre organisation, incluez le compte principal de l'organisation défini dans la contrainte.

Pour savoir comment définir cette contrainte, consultez Utiliser la contrainte iam.managed.allowedPolicyMembers pour implémenter le partage limité au domaine.
Contrainte prédéfinie iam.allowedPolicyMemberDomains: vous pouvez appliquer cette contrainte prédéfinie pour n'autoriser que l'attribution de rôles aux principaux de votre organisation. Vous pouvez limiter l'accès en fonction de l'ID de ressource de votre organisation ou de votre numéro client Google Workspace. Pour voir les différences entre ces identifiants, consultez la section ID de ressource d'organisation par rapport au numéro client Google Workspace sur cette page.

Cette contrainte ne vous permet pas de configurer d'exceptions pour des principaux spécifiques. Par exemple, imaginons que vous deviez attribuer un rôle à un agent de service dans une organisation qui applique la contrainte iam.allowedPolicyMemberDomains. Les agents de service sont créés et gérés par Google. Ils ne font donc pas partie de votre organisation, de votre compte Google Workspace ni de votre domaine Cloud Identity. Par conséquent, pour attribuer un rôle à l'agent de service, vous devez désactiver la contrainte, attribuer le rôle, puis réactiver la contrainte.

Vous pouvez remplacer la règle d'administration de l'organisation au niveau du dossier ou du projet pour modifier les utilisateurs autorisés à recevoir des rôles dans les dossiers ou les projets. Pour en savoir plus, consultez la section Remplacer la règle d'administration pour un projet.

Pour savoir comment définir cette contrainte, consultez Utiliser la contrainte iam.allowedPolicyMemberDomains pour implémenter le partage limité au domaine.

Remarque: Si votre organisation a été créée le 3 mai 2024 ou après, la contrainte prédéfinie iam.allowedPolicyMemberDomains est appliquée par défaut, et votre domaine est indiqué comme seule valeur autorisée.

Fonctionnement du partage restreint au domaine

Lorsque vous utilisez une stratégie d'administration pour appliquer le partage limité au domaine, aucun compte principal en dehors des domaines et des personnes que vous spécifiez ne peut être autorisé à utiliser des rôles IAM dans votre organisation.

Les sections suivantes décrivent certains détails clés sur le fonctionnement des contraintes de partage limitées au domaine dans votre organisation.

Les contraintes ne sont pas rétroactives

Les contraintes liées aux règles d'administration ne sont pas rétroactives. Une fois qu'une restriction de domaine est définie, la limitation s'applique aux modifications de stratégie d'autorisation effectuées à partir de ce moment, et non aux modifications apportées antérieurement.

Prenons l'exemple de deux organisations associées: examplepetstore.com et altostrat.com. Vous avez attribué un rôle IAM à une identité examplepetstore.com dans altostrat.com. Plus tard, vous avez décidé de restreindre les identités par domaine et d'implémenter une règle d'administration avec la contrainte de restriction de domaine dans altostrat.com. Dans ce cas, les identités examplepetstore.com existantes ne perdraient pas l'accès dans altostrat.com. À partir de ce moment, vous ne pourriez accorder des rôles IAM qu'aux identités du domaine altostrat.com.

Les contraintes s'appliquent chaque fois qu'une stratégie IAM est définie.

Les contraintes de restriction de domaine s'appliquent à toutes les actions pour lesquelles une stratégie IAM est définie. Cela inclut les actions automatiques. Par exemple, les contraintes s'appliquent aux modifications apportées par un agent de service en réponse à une autre action. Par exemple, vous disposez d'un service automatisé qui importe des ensembles de données BigQuery et un agent de service BigQuery modifie les stratégies IAM sur un nouvel ensemble de données. Cette action sera limitée par la contrainte de restriction de domaine et bloquée.

Les contraintes n'incluent pas automatiquement votre domaine

Le domaine de votre organisation n'est pas automatiquement ajouté à la liste d'autorisation d'une règle lorsque vous définissez la contrainte de restriction de domaine. Pour que des rôles IAM soient accordés aux principaux de votre domaine dans votre organisation, vous devez ajouter votre domaine explicitement. Si vous n'ajoutez pas votre domaine et que le rôle "Administrateur des règles d'administration" (roles/orgpolicy.policyAdmin) est supprimé de tous les utilisateurs de votre domaine, la règle d'administration devient inaccessible.

Groupes Google et partage restreint de domaine

Si la contrainte de restriction de domaine est appliquée dans votre organisation, vous ne pourrez peut-être pas attribuer de rôles aux groupes Google nouvellement créés, même s'ils appartiennent à un domaine autorisé. En effet, la propagation complète d'un groupe peut prendre jusqu'à 24 heures dans Google Cloud. Si vous ne parvenez pas à attribuer un rôle à un groupe Google nouvellement créé, patientez 24 heures, puis réessayez.

De plus, lorsqu'il évalue si un groupe appartient à un domaine autorisé, IAM n'évalue que le domaine du groupe. Il n'évalue pas les domaines de l'un des membres du groupe. Par conséquent, les administrateurs de projet peuvent contourner la contrainte de restriction de domaine en ajoutant des membres externes à des groupes Google, puis en leur attribuant des rôles.

Pour s'assurer que les administrateurs du projet ne peuvent pas contourner la contrainte de restriction de domaine, l'administrateur Google Workspace doit s'assurer que les propriétaires de groupe ne peuvent pas autoriser les membres n'appartenant pas au domaine dans le panneau d'administration Google Workspace.

ID de ressource d'organisation par rapport au numéro client Google Workspace

Si vous utilisez la contrainte prédéfinie iam.allowedPolicyMemberDomains pour implémenter le partage restreint de domaine, vous pouvez limiter l'accès en fonction de l'ID de ressource de votre organisation ou de votre numéro client Google Workspace.

L'utilisation de l'ID de ressource de votre organisation permet d'attribuer des rôles aux principaux suivants dans votre organisation:

Tous les pools d'identités de personnel de votre organisation
Tous les comptes de service et les pools d'identités de charge de travail de n'importe quel projet de l'organisation
Tous les agents de service associés aux ressources de votre organisation

L'utilisation de votre numéro client Google Workspace permet d'attribuer des rôles aux principaux suivants dans votre organisation:

Toutes les identités de tous les domaines, y compris les sous-domaines, associés à votre numéro client Google Workspace
Tous les pools d'identités de personnel de votre organisation
Tous les comptes de service et les pools d'identités de charge de travail de n'importe quel projet de l'organisation
Tous les agents de service associés aux ressources de votre organisation.

Si vous souhaitez implémenter le partage limité au domaine pour des sous-domaines spécifiques, vous devez créer un compte Google Workspace distinct pour chaque sous-domaine. Pour en savoir plus sur la gestion de plusieurs comptes Google Workspace, consultez Gérer plusieurs organisations.