Questa pagina è stata tradotta dall'API Cloud Translation.

Condivisione limitata per i domini

La condivisione limitata per i domini ti consente di limitare la condivisione delle risorse in base a un dominio o a una risorsa dell'organizzazione. Quando la condivisione con restrizioni al dominio è attiva, solo i principali appartenente a organizzazioni o domini consentiti possono ricevere i ruoli IAM nella tua organizzazione Google Cloud .

Metodi per limitare la condivisione per dominio

Esistono diversi modi per utilizzare il servizio Criteri dell'organizzazione per limitare la condivisione delle risorse in base al dominio o alla risorsa dell'organizzazione:

Un criterio dell'organizzazione personalizzato che fa riferimento alla iam.googleapis.com/AllowPolicy risorsa: puoi utilizzare un criterio dell'organizzazione personalizzato per consentire di concedere i ruoli solo a un insieme specifico di entità.

Con questo metodo, utilizzi le seguenti funzioni CEL per definire a chi può essere assegnato un ruolo nella tua organizzazione:
Per consentire la concessione dei ruoli a tutti gli account della tua organizzazione, specifica l'insieme di account della tua organizzazione nella funzione memberInPrincipalSet include l'insieme di account dell'organizzazione nel vincolo.

Per scoprire di più su come creare criteri dell'organizzazione personalizzati utilizzando queste funzioni CEL, consulta Utilizzare i criteri dell'organizzazione personalizzati per implementare la condivisione con limitazioni del dominio.
La limitazione gestita iam.managed.allowedPolicyMembers: puoi applicare questa limitazione gestita per consentire la concessione dei ruoli solo alle entità e ai set di entità elencati nella limitazione.

Con questa limitazione gestita, elenchi le entità e gli insiemi di entità a cui vuoi consentire la concessione dei ruoli. Tuttavia, questo metodo è meno flessibile rispetto all'utilizzo di criteri dell'organizzazione personalizzati. Ad esempio, non puoi configurare le entità consentite in base al tipo di membro o impedire a entità specifiche di ricevere i ruoli.

Per consentire la concessione dei ruoli a tutti gli account della tua organizzazione, includi l'account dell'organizzazione impostato nel vincolo.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.managed.allowedPolicyMembers per implementare la condivisione con restrizioni al dominio.
Il vincolo predefinito iam.allowedPolicyMemberDomains: puoi applicare questo vincolo predefinito per consentire la concessione di ruoli solo alle entità della tua organizzazione. Puoi limitare l'accesso in base all'ID risorsa dell'organizzazione o all'ID cliente Google Workspace. Per vedere le differenze tra questi identificatori, consulta la sezione ID risorsa organizzazione e ID cliente Google Workspace in questa pagina.

Questo vincolo non consente di configurare eccezioni per entità principali specifiche. Ad esempio, immagina di dover concedere un ruolo a un agente di servizio in un'organizzazione che applica il vincolo iam.allowedPolicyMemberDomains. Gli agenti di servizio vengono creati e gestiti da Google, pertanto non fanno parte della tua organizzazione, del tuo account Google Workspace o del tuo dominio Cloud Identity. Di conseguenza, per assegnare un ruolo all'agente di servizio, devi disattivare il vincolo, assegnare il ruolo e riattivare il vincolo.

Puoi ignorare i criteri dell'organizzazione a livello di cartella o progetto per cambiare gli utenti a cui è consentito concedere i ruoli nelle cartelle o nei progetti. Per ulteriori informazioni, consulta Ignorare i criteri dell'organizzazione per un progetto.

Per scoprire come impostare questo vincolo, consulta Utilizzare il vincolo iam.allowedPolicyMemberDomains per implementare la condivisione con restrizioni al dominio.

Nota: se la tua organizzazione è stata creata a partire dal 3 maggio 2024, il vincolo predefinito iam.allowedPolicyMemberDomains viene applicato per impostazione predefinita, con il tuo dominio elencato come unico valore consentito.

Come funziona la condivisione limitata per i domini

Quando utilizzi un criterio dell'organizzazione per applicare la condivisione con restrizioni al dominio, non è possibile assegnare ruoli IAM nella tua organizzazione a nessun principale al di fuori dei domini e delle persone specificati.

Le sezioni seguenti descrivono alcuni dettagli chiave su come funzionano le limitazioni alla condivisione per i domini nella tua organizzazione.

I vincoli non sono retroattivi

I vincoli dei criteri dell'organizzazione non sono retroattivi. Una volta impostata la restrizione del dominio, la limitazione si applica per consentire le modifiche alle norme apportate da quel momento in poi e non a eventuali modifiche precedenti.

Ad esempio, prendiamo in considerazione due organizzazioni correlate: examplepetstore.com e altostrat.com. Hai concesso a un'identità examplepetstore.com un ruolo IAM in altostrat.com. In un secondo momento, hai deciso di limitare le identità per dominio e hai implementato un criterio dell'organizzazione con il vincolo di limitazione del dominio in altostrat.com. In questo caso, le identità examplepetstore.com esistenti non perderanno l'accesso in altostrat.com. Da quel momento in poi, potrai concedere i ruoli IAM solo alle identità del dominio altostrat.com.

I vincoli vengono applicati ogni volta che viene impostato un criterio IAM

I vincoli di limitazione del dominio si applicano a tutte le azioni in cui è impostato un criterio IAM. Sono incluse le azioni automatiche. Ad esempio, i vincoli si applicano alle modifiche apportate da un agente di servizio in risposta a un'altra azione. Ad esempio, se hai un servizio automatico che importa set di dati BigQuery, un agente di servizio BigQuery apporterà modifiche ai criteri IAM nel set di dati appena creato. Questa azione sarebbe limitata dal vincolo di limitazione del dominio e bloccata.

I vincoli non includono automaticamente il tuo dominio

Il dominio della tua organizzazione non viene aggiunto automaticamente all'elenco consentito di un criterio quando imposti la limitazione del dominio. Per consentire di concedere ai principali del tuo dominio i ruoli IAM nella tua organizzazione, devi aggiungere esplicitamente il tuo dominio. Se non aggiungi il tuo dominio e il ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) viene rimosso da tutti gli utenti del tuo dominio, i criteri dell'organizzazione diventano inaccessibili.

Gruppi Google e condivisione limitata per i domini

Se nella tua organizzazione è applicato il vincolo di limitazione del dominio, potresti non essere in grado di concedere ruoli ai gruppi Google appena creati, anche se appartengono a un dominio consentito. Questo perché possono essere necessarie fino a 24 ore per la propagazione completa di un gruppo in Google Cloud. Se non riesci a concedere un ruolo a un gruppo Google appena creato, attendi 24 ore e riprova.

Inoltre, quando valuta se un gruppo appartiene a un dominio consentito, IAM valuta solo il dominio del gruppo. Non valuta i domini di nessuno dei membri del gruppo. Di conseguenza, gli amministratori dei progetti possonoaggirare la limitazione di dominio aggiungendo membri esterni ai gruppi Google e poi concedendo i ruoli a questi gruppi Google.

Per assicurarsi che gli amministratori del progetto non possano aggirare il vincolo di limitazione del dominio, l'amministratore di Google Workspace deve assicurarsi che i proprietari di gruppo non possano autorizzare membri esterni al dominio nel pannello dell'amministratore di Google Workspace.

ID risorsa organizzazione e ID cliente Google Workspace

Se utilizzi il vincolo predefinito iam.allowedPolicyMemberDomains per implementare la condivisione con limitazioni al dominio, puoi limitare l'accesso in base all'ID risorsa dell'organizzazione o all'ID cliente Google Workspace.

L'utilizzo dell'ID risorsa dell'organizzazione consente di assegnare i seguenti ruoli all'organizzazione:

Tutti i pool di identità per la forza lavoro della tua organizzazione
Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione

L'utilizzo dell'ID cliente Google Workspace consente di concedere i seguenti ruoli nella tua organizzazione:

Tutte le identità in tutti i domini, inclusi i sottodomini, associati al tuo ID cliente Google Workspace
Tutti i pool di identità per la forza lavoro della tua organizzazione
Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione
Tutti gli agenti di servizio associati alle risorse della tua organizzazione.

Se vuoi implementare la condivisione con restrizioni al dominio per sottodomini specifici, devi creare un account Google Workspace separato per ogni sottodominio. Per maggiori informazioni sulla gestione di più account Google Workspace, consulta Gestire più organizzazioni.