借助网域限定共享,您可以根据网域或组织资源限制资源共享。启用网域受限共享后,只有属于允许的网域或组织的主账号才能在您的 Google Cloud 组织中获得 IAM 角色。
按网域限制共享的方法
您可以通过多种方式使用组织政策服务根据网域或组织资源限制资源共享:
引用
iam.googleapis.com/AllowPolicy资源的自定义组织政策:您可以使用自定义组织政策,仅允许向一组特定的主账号授予角色。使用此方法时,您可以使用以下 CEL 函数来定义哪些人可以在贵组织中获得角色:
如需向贵组织中的所有主账号授予角色,请在
memberInPrincipalSet函数中指定贵组织的主账号集,并在约束条件中指定贵组织的主账号集。如需详细了解如何使用这些 CEL 函数创建自定义组织政策,请参阅使用自定义组织政策实现受网域限制的共享。
iam.managed.allowedPolicyMembers受管约束条件:您可以强制执行此受管约束条件,以允许仅向您在约束条件中列出的主账号和主账号组授予角色。借助此受管理的约束条件,您可以列出要允许授予角色的主账号和主账号组。不过,与使用自定义组织政策相比,此方法的灵活性较低。例如,您无法根据成员类型配置允许的主账号,也无法阻止向特定主账号授予角色。
如需向贵组织中的所有主账号授予角色,请在约束条件中添加贵组织的主账号集。
如需了解如何设置此限制条件,请参阅使用
iam.managed.allowedPolicyMembers限制条件实现网域限制共享。iam.allowedPolicyMemberDomains预定义限制条件:您可以强制执行此预定义限制条件,以便仅向组织中的主账号授予角色。您可以根据组织资源 ID 或 Google Workspace 客户 ID 限制访问权限。如需了解这些标识符之间的区别,请参阅本页中的组织资源 ID 与 Google Workspace 客户 ID。此约束条件不允许您为特定正文配置例外情况。例如,假设您需要向实施
iam.allowedPolicyMemberDomains限制条件的组织中的服务代理授予角色。服务代理由 Google 创建和管理,因此不属于贵组织、您的 Google Workspace 账号或您的 Cloud Identity 网域。因此,如需向服务代理授予角色,您需要停用限制、授予角色,然后重新启用限制。您可以在文件夹或项目级别替换组织政策,以更改允许向哪些用户在哪些文件夹或项目中授予角色。如需了解详情,请参阅替换项目的组织政策。
如需了解如何设置此限制条件,请参阅使用
iam.allowedPolicyMemberDomains限制条件实现网域限制共享。
网域限定共享的运作方式
当您使用组织政策强制执行网域限制共享时,除了您指定的网域和个人之外,任何其他主账号都无法在贵组织中获得 IAM 角色。
以下部分概述了网域限制共享约束条件在贵组织中的运作方式的一些关键细节。
限制条件不具有追溯性
组织政策限制条件不具有追溯性。设置网域限制后,此限制将应用于在此之后对允许政策所做的更改,而不会应用于在此之前所做的任何更改。
例如,假设有两个相关组织:examplepetstore.com 和 altostrat.com。您已在 altostrat.com 中向 examplepetstore.com 身份授予了 IAM 角色。后来,您决定按网域限制身份,并在 altostrat.com 中实施了一项包含网域限制条件的组织政策。在这种情况下,现有的 examplepetstore.com 身份不会失去对 altostrat.com 的访问权限。从那时起,您只能向 altostrat.com 网域中的身份授予 IAM 角色。
每当设置 IAM 政策时,都会应用限制
网域限制条件适用于设置了 IAM 政策的所有操作。这包括自动化操作。例如,这些约束条件适用于服务代理为响应其他操作而进行的更改。例如,如果您拥有用于导入 BigQuery 数据集的自动化服务,则 BigQuery 服务代理会对新创建的数据集进行 IAM 政策更改。此操作将受网域限制条件的限制并会被屏蔽。
限制条件不会自动包含您的网域
当您设置网域限制条件时,贵组织的网域不会自动添加到政策的允许列表中。如需向您网域中的主账号授予您组织中的 IAM 角色,您必须明确添加您的网域。如果您未添加网域,并且网域中所有用户的“组织政策管理员”角色 (roles/orgpolicy.policyAdmin) 被移除,则相应的组织政策将无法使用。
Google 群组和网域限定共享
如果系统在您的组织中强制执行了网域限制条件,则您可能无法向新创建的 Google 群组授予角色,即使这些群组属于允许的网域也是如此。这是因为,一个组可能需要长达 24 小时才能在 Google Cloud中完全传播。如果您无法向新创建的 Google 群组授予角色,请等待 24 小时,然后重试。
此外,在评估群组是否属于允许的网域时,IAM 仅会评估群组的网域。它不会评估群组成员的任何网域。因此,项目管理员可以通过向 Google 群组添加外部成员,然后向这些 Google 群组授予角色,来绕过网域限制条件。
为确保项目管理员无法绕过网域限制条件,Google Workspace 管理员在 Google Workspace 管理员面板中应确保该群组所有者不能允许网域以外的成员。
组织资源 ID 与 Google Workspace 客户 ID
如果您使用 iam.allowedPolicyMemberDomains 预定义限制条件来实现网域限定共享,则可以根据组织资源 ID 或 Google Workspace 客户 ID 限制访问权限。
使用组织资源 ID 可为以下正文授予组织中的角色:
- 贵组织中的所有员工身份池
- 组织中任何项目中的所有服务账号和工作负载身份池
- 与贵组织中的资源关联的所有服务代理
使用 Google Workspace 客户 ID 可为以下正文授予贵组织中的角色:
- 与您的 Google Workspace 客户 ID 关联的所有网域(包括子网域)中的所有身份
- 贵组织中的所有员工身份池
- 组织中任何项目中的所有服务账号和工作负载身份池
- 与贵组织中的资源关联的所有服务代理。
如果您想为特定子网域实现网域限制共享,则需要为每个子网域分别创建一个 Google Workspace 账号。如需详细了解如何管理多个 Google Workspace 账号,请参阅管理多个组织。