O compartilhamento restrito de domínio permite limitar o compartilhamento de recursos com base em um domínio ou recurso da organização. Quando o compartilhamento restrito de domínio está ativo, apenas os principais que pertencem a domínios ou organizações permitidos podem receber papéis do IAM na organização Google Cloud .
Métodos para restringir o compartilhamento por domínio
Há várias maneiras de usar o serviço de políticas da organização para limitar o compartilhamento de recursos com base no domínio ou na organização:
Uma política personalizada da organização que faz referência ao recurso
iam.googleapis.com/AllowPolicy: é possível usar uma política personalizada da organização para permitir que as funções sejam concedidas apenas a um conjunto específico de principais.Com esse método, você usa as seguintes funções CEL para definir quem pode receber um papel na sua organização:
Para permitir que os papéis sejam concedidos a todos os participantes da organização, especifique o conjunto principal da organização na função
memberInPrincipalSet, incluindo o conjunto principal da organização na restrição.Para saber mais sobre como criar políticas personalizadas da organização usando essas funções da CEL, consulte Usar políticas personalizadas da organização para implementar o compartilhamento restrito de domínio.
A restrição gerenciada
iam.managed.allowedPolicyMembers: é possível aplicar essa restrição gerenciada para permitir que papéis sejam concedidos apenas aos principais e aos conjuntos de principais listados na restrição.Com essa restrição gerenciada, você lista os participantes e conjuntos de participantes para os quais você quer conceder papéis. No entanto, esse método é menos flexível do que o uso de políticas da organização personalizadas. Por exemplo, não é possível configurar principais permitidos com base no tipo de membro ou impedir que principais específicos recebam papéis.
Para permitir que papéis sejam concedidos a todos os principais na sua organização, inclua o principal da organização definido na restrição.
Para saber como definir essa restrição, consulte Usar a restrição
iam.managed.allowedPolicyMemberspara implementar o compartilhamento restrito de domínio.A restrição predefinida
iam.allowedPolicyMemberDomains: é possível aplicar essa restrição predefinida para permitir que apenas papéis sejam concedidos a participantes na sua organização. É possível limitar o acesso com base no ID do recurso da organização ou do cliente do Google Workspace. Para saber as diferenças entre esses identificadores, consulte ID do recurso da organização x ID de cliente do Google Workspace nesta página.Essa restrição não permite configurar exceções para princípios específicos. Por exemplo, imagine que você precise conceder um papel a um agente de serviço em uma organização que imponha a restrição
iam.allowedPolicyMemberDomains. Os agentes de serviço são criados e gerenciados pelo Google, então eles não fazem parte da sua organização, da sua conta do Google Workspace ou do seu domínio do Cloud Identity. Como resultado, para conceder um papel ao agente de serviço, é necessário desativar a restrição, conceder o papel e reativar a restrição.É possível substituir a política da organização no nível da pasta ou do projeto para mudar quais usuários podem receber papéis em quais pastas ou projetos. Para mais informações, consulte Modificar a política da organização para um projeto.
Para saber como definir essa restrição, consulte Usar a restrição
iam.allowedPolicyMemberDomainspara implementar o compartilhamento restrito de domínio.
Como funciona o compartilhamento restrito de domínio
Quando você usa uma política da organização para aplicar o compartilhamento restrito de domínio, nenhum principal fora dos domínios e indivíduos especificados pode receber papéis do IAM na sua organização.
As seções a seguir descrevem alguns detalhes importantes sobre como as restrições de compartilhamento restrito de domínio funcionam na sua organização.
As restrições não são retroativas
As restrições da política da organização não são retroativas. Depois que uma restrição de domínio é definida, a limitação é aplicada para permitir mudanças de política feitas a partir de então, e não a mudanças anteriores.
Por exemplo, considere duas organizações relacionadas: examplepetstore.com e
altostrat.com. Você concedeu um papel do IAM a uma identidade examplepetstore.com em altostrat.com. Mais tarde, você decidiu restringir
identidades por domínio e implementou uma política da organização com a restrição de
domínio em altostrat.com. Nesse caso, as identidades
examplepetstore.com atuais não perderiam o acesso em altostrat.com. A partir
disso, só seria possível conceder papéis do IAM a identidades do
domínio altostrat.com.
As restrições são aplicadas sempre que uma política do IAM é definida
As restrições de restrição de domínio se aplicam a todas as ações em que uma política do IAM está definida. Isso inclui ações automatizadas. Por exemplo, as restrições se aplicam a mudanças feitas por um agente de serviço em resposta a outra ação. Por exemplo, se você tiver um serviço automatizado que importa conjuntos de dados do BigQuery, um agente de serviço do BigQuery vai fazer alterações na política do IAM no conjunto de dados recém-criado. Essa ação será restrita à restrição de domínio e bloqueada.
As restrições não incluem automaticamente seu domínio
O domínio da sua organização não é adicionado automaticamente à lista de permissões de uma
política quando você define a restrição de domínio. Para que os principais usuários do seu domínio recebam papéis do IAM na sua organização, adicione seu domínio explicitamente. Se você não adicionar seu domínio e a função de administrador da política da organização (roles/orgpolicy.policyAdmin) for removida de todos os usuários no seu domínio, a política da organização ficará inacessível.
Grupos do Google e compartilhamento restrito de domínios
Se a restrição de domínio for aplicada na sua organização, talvez não seja possível conceder funções a grupos do Google recém-criados, mesmo que eles pertençam a um domínio permitido. Isso ocorre porque pode levar até 24 horas para que um grupo seja totalmente propagado pelo Google Cloud. Se não for possível conceder uma função a um grupo do Google recém-criado, aguarde 24 horas e tente de novo.
Além disso, ao avaliar se um grupo pertence a um domínio permitido, o IAM avalia apenas o domínio do grupo. Ele não avalia os domínios de nenhum dos membros do grupo. Como resultado, os administradores do projeto podem ignorar a restrição de domínio adicionando membros externos aos Grupos do Google e concedendo papéis a esses grupos.
Para garantir que os administradores do projeto não possam ignorar a restrição de domínio, o administrador do Google Workspace precisa garantir que os proprietários do grupo não possam permitir participantes de fora do domínio no painel do administrador do Google Workspace.
ID de recurso da organização x ID de cliente do Google Workspace
Se você usar a restrição predefinida iam.allowedPolicyMemberDomains para implementar o compartilhamento restrito de domínio, poderá limitar o acesso com base no ID do recurso da organização ou do cliente do Google Workspace.
O uso do ID de recurso da organização permite que os seguintes participantes recebam papéis na sua organização:
- Todos os pools de identidade de força de trabalho na sua organização
- Todas as contas de serviço e pools de identidade de carga de trabalho em qualquer projeto na organização
- Todos os agentes de serviço associados a recursos na sua organização
O uso do ID de cliente do Google Workspace permite que os seguintes princípios sejam atribuídos a papéis na sua organização:
- Todas as identidades em todos os domínios, incluindo subdomínios, associadas ao seu ID de cliente do Google Workspace
- Todos os pools de identidade de força de trabalho na sua organização
- Todas as contas de serviço e pools de identidade de carga de trabalho em qualquer projeto na organização
- Todos os agentes de serviço associados a recursos na organização.
Se você quiser implementar o compartilhamento restrito de domínio para subdomínios específicos, crie uma conta do Google Workspace separada para cada subdomínio. Para mais informações sobre como gerenciar várias contas do Google Workspace, consulte Como gerenciar várias organizações.