Berbagi yang dibatasi domain memungkinkan Anda membatasi berbagi resource berdasarkan domain atau resource organisasi. Jika berbagi dengan batasan domain aktif, hanya akun utama yang termasuk dalam domain atau organisasi yang diizinkan yang dapat diberi peran IAM di organisasi Google Cloud Anda.
Metode untuk membatasi berbagi menurut domain
Ada beberapa cara untuk menggunakan Layanan Kebijakan Organisasi guna membatasi pembagian resource berdasarkan resource domain atau organisasi:
Kebijakan organisasi kustom yang mereferensikan resource
iam.googleapis.com/AllowPolicy: Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan peran diberikan hanya kepada sekumpulan akun utama tertentu.Dengan metode ini, Anda menggunakan fungsi CEL berikut untuk menentukan siapa yang dapat diberi peran di organisasi Anda:
Untuk mengizinkan peran diberikan kepada semua akun utama di organisasi Anda, tentukan kumpulan akun utama organisasi Anda dalam fungsi
memberInPrincipalSetyang menyertakan kumpulan akun utama organisasi dalam batasan.Untuk mempelajari lebih lanjut cara membuat kebijakan organisasi kustom menggunakan fungsi CEL ini, lihat Menggunakan kebijakan organisasi kustom untuk menerapkan berbagi yang dibatasi domain.
Batasan terkelola
iam.managed.allowedPolicyMembers: Anda dapat menerapkan batasan terkelola ini untuk mengizinkan peran hanya diberikan kepada akun utama dan kumpulan akun utama yang Anda cantumkan dalam batasan.Dengan batasan terkelola ini, Anda mencantumkan akun utama dan kumpulan akun utama yang ingin Anda izinkan untuk diberi peran. Namun, metode ini kurang fleksibel dibandingkan dengan menggunakan kebijakan organisasi kustom. Misalnya, Anda tidak dapat mengonfigurasi akun utama yang diizinkan berdasarkan jenis anggota, atau mencegah akun utama tertentu diberi peran.
Untuk mengizinkan peran diberikan kepada semua akun utama di organisasi Anda, sertakan akun utama organisasi yang ditetapkan dalam batasan.
Untuk mempelajari cara menetapkan batasan ini, lihat Menggunakan batasan
iam.managed.allowedPolicyMembersuntuk menerapkan berbagi yang dibatasi domain.Batasan bawaan
iam.allowedPolicyMemberDomains: Anda dapat menerapkan batasan bawaan ini untuk hanya mengizinkan peran diberikan kepada akun utama di organisasi Anda. Anda dapat membatasi akses berdasarkan ID resource organisasi atau ID pelanggan Google Workspace. Untuk melihat perbedaan antara ID ini, lihat ID resource organisasi versus ID pelanggan Google Workspace di halaman ini.Batasan ini tidak memungkinkan Anda mengonfigurasi pengecualian untuk akun utama tertentu. Misalnya, bayangkan Anda perlu memberikan peran ke agen layanan di organisasi yang menerapkan batasan
iam.allowedPolicyMemberDomains. Agen layanan dibuat dan dikelola oleh Google, sehingga agen layanan bukan bagian dari organisasi, akun Google Workspace, atau domain Cloud Identity Anda. Akibatnya, untuk memberikan peran kepada agen layanan, Anda harus menonaktifkan batasan, memberikan peran, lalu mengaktifkan kembali batasan.Anda dapat mengganti kebijakan organisasi di tingkat folder atau project untuk mengubah pengguna mana yang diizinkan untuk diberi peran di folder atau project mana. Untuk mengetahui informasi selengkapnya, lihat Mengganti kebijakan organisasi untuk project.
Untuk mempelajari cara menetapkan batasan ini, lihat Menggunakan batasan
iam.allowedPolicyMemberDomainsuntuk menerapkan berbagi yang dibatasi domain.
Cara kerja berbagi dengan domain terbatas
Saat Anda menggunakan kebijakan organisasi untuk menerapkan berbagi yang dibatasi domain, tidak ada akun utama di luar domain dan individu yang Anda tentukan yang dapat diberi peran IAM di organisasi Anda.
Bagian berikut menguraikan beberapa detail utama tentang cara kerja batasan berbagi yang dibatasi domain di organisasi Anda.
Batasan tidak berlaku surut
Batasan kebijakan organisasi tidak berlaku surut. Setelah pembatasan domain ditetapkan, batasan akan berlaku untuk mengizinkan perubahan kebijakan yang dilakukan mulai saat itu, dan bukan untuk perubahan sebelumnya.
Misalnya, pertimbangkan dua organisasi terkait: examplepetstore.com dan
altostrat.com. Anda telah memberikan peran IAM kepada identitas examplepetstore.com di altostrat.com. Kemudian, Anda memutuskan untuk membatasi
identitas berdasarkan domain, dan menerapkan kebijakan organisasi dengan batasan
pembatasan domain di altostrat.com. Dalam hal ini, identitas examplepetstore.com yang ada tidak akan kehilangan akses di altostrat.com. Dari titik tersebut, Anda hanya dapat memberikan peran IAM ke identitas dari domain altostrat.com.
Batasan berlaku setiap kali kebijakan IAM ditetapkan
Batasan pembatasan domain berlaku untuk semua tindakan tempat kebijakan IAM ditetapkan. Hal ini mencakup tindakan otomatis. Misalnya, batasan berlaku untuk perubahan yang dilakukan agen layanan sebagai respons terhadap tindakan lain. Misalnya, jika Anda memiliki layanan otomatis yang mengimpor set data BigQuery, agen layanan BigQuery akan membuat perubahan kebijakan IAM pada set data yang baru dibuat. Tindakan ini akan dibatasi oleh batasan pembatasan domain dan diblokir.
Batasan tidak otomatis menyertakan domain Anda
Domain organisasi Anda tidak otomatis ditambahkan ke daftar kebijakan yang diizinkan saat Anda menetapkan batasan pembatasan domain. Agar akun utama di domain Anda diberikan peran IAM di organisasi, Anda harus menambahkan domain secara eksplisit. Jika Anda tidak menambahkan domain dan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) dihapus dari semua pengguna di domain Anda, kebijakan organisasi tidak akan dapat diakses.
Google Grup dan berbagi dengan domain terbatas
Jika batasan pembatasan domain diterapkan di organisasi Anda, Anda mungkin tidak dapat memberikan peran ke grup Google yang baru dibuat, meskipun grup tersebut termasuk dalam domain yang diizinkan. Hal ini karena perlu waktu hingga 24 jam agar grup di-propagate sepenuhnya melalui Google Cloud. Jika Anda tidak dapat memberikan peran ke grup Google yang baru dibuat, tunggu 24 jam, lalu coba lagi.
Selain itu, saat mengevaluasi apakah grup termasuk dalam domain yang diizinkan, IAM hanya mengevaluasi domain grup. Fitur ini tidak mengevaluasi domain anggota grup mana pun. Akibatnya, administrator project dapat mengabaikan batasan pembatasan domain dengan menambahkan anggota dari luar ke grup Google, lalu memberikan peran ke grup Google tersebut.
Untuk memastikan administrator project tidak dapat mengabaikan batasan pembatasan domain, administrator Google Workspace harus memastikan bahwa pemilik grup tidak dapat mengizinkan anggota dari luar domain di panel administrator Google Workspace.
ID resource organisasi versus ID pelanggan Google Workspace
Jika menggunakan batasan yang telah ditentukan sebelumnya iam.allowedPolicyMemberDomains untuk menerapkan
berbagi yang dibatasi domain, Anda dapat membatasi akses berdasarkan
ID resource organisasi atau ID pelanggan Google Workspace.
Dengan menggunakan ID resource organisasi, akun utama berikut dapat diberi peran di organisasi Anda:
- Semua kumpulan identitas tenaga kerja di organisasi Anda
- Semua akun layanan dan workload identity pool di project apa pun dalam organisasi
- Semua agen layanan yang terkait dengan resource di organisasi Anda
Dengan menggunakan ID pelanggan Google Workspace, akun utama berikut dapat diberi peran di organisasi Anda:
- Semua identitas di semua domain, termasuk subdomain, yang terkait dengan ID pelanggan Google Workspace Anda
- Semua kumpulan identitas tenaga kerja di organisasi Anda
- Semua akun layanan dan workload identity pool di project apa pun dalam organisasi
- Semua agen layanan yang terkait dengan resource di organisasi Anda.
Jika ingin menerapkan berbagi yang dibatasi domain untuk subdomain tertentu, Anda harus membuat akun Google Workspace terpisah untuk setiap subdomain. Untuk mengetahui informasi selengkapnya tentang cara mengelola beberapa akun Google Workspace, lihat Mengelola beberapa organisasi.