Identitäten nach Domain einschränken

Mit der Domaineinschränkung können Sie die Ressourcenfreigabe auf Grundlage einer Domain- oder Organisationsressource beschränken. Wenn die bereichsbeschränkte Freigabe aktiv ist, können nur Hauptkonten, die zu zulässigen Domains oder Organisationen gehören, IAM-Rollen in Ihrer Google Cloud -Organisation gewährt werden.

Es gibt drei Arten von Organisationsrichtlinien, mit denen Sie Identitäten nach Domain einschränken können:

  • Benutzerdefinierte Organisationsrichtlinien, die auf die iam.googleapis.com/AllowPolicy-Ressource verweisen
  • Die verwaltete Einschränkung iam.managed.allowedPolicyMembers
  • Die vordefinierte Einschränkung iam.allowedPolicyMemberDomains

Hinweise

Wählen Sie aus, mit welcher Methode Sie die domainbeschränkte Freigabe implementieren möchten. Weitere Informationen zu den Vor- und Nachteilen der einzelnen Methoden finden Sie unter Methoden zum Einschränken der Freigabe nach Domain.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erzwingen der bereichsbeschränkten Freigabe benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Benutzerdefinierte Organisationsrichtlinien verwenden, um die domaineingeschränkte Freigabe zu implementieren

  1. Erstellen Sie eine benutzerdefinierte Einschränkung, die einschränkt, welchen Hauptkonten Rollen in Ihrer Organisation gewährt werden können:

    1. Verwenden Sie die memberInPrincipalSet CEL-Funktion mit dem Hauptkonto Ihrer Organisation, um Rollenzuweisungen auf Mitglieder in Ihrer Organisation zu beschränken. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Ressourcen-ID einer Organisation abrufen.

      Mit der folgenden Einschränkung werden beispielsweise Rollenzuweisungen auf Mitglieder in Ihrer Organisation beschränkt:

      name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles

    2. Sie können die Einschränkung optional verfeinern, indem Sie zusätzliche CEL-Funktionen hinzufügen, die mit logischen Operatoren (&&, || oder !) verknüpft sind. Sie können eine der folgenden Funktionen hinzufügen:

      Mit der folgenden Einschränkung werden beispielsweise Rollenzuweisungen auf Mitglieder in Ihrer Organisation und auf admin@example.com beschränkt:

      name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      (
        MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
        ||
        MemberSubjectMatches(member, ['user:admin@example.com'])
      )
    )
  )"
actionType: ALLOW
displayName: Only allow organization members and service agents to be granted roles

  2. So richten Sie die benutzerdefinierte Einschränkung ein:

    Nachdem Sie die YAML-Datei für eine neue benutzerdefinierte Einschränkung erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Einschränkung den Befehl gcloud org-policies set-custom-constraint: 
    gcloud org-policies set-custom-constraint CONSTRAINT_PATH
     Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Einschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs sind Ihre benutzerdefinierten Einschränkungen als Organisationsrichtlinien in der Liste der Google Cloud -Organisationsrichtlinien verfügbar. Prüfen Sie mit dem Befehl gcloud org-policies list-custom-constraints, ob die benutzerdefinierte Einschränkung vorhanden ist: 
    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
     Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

  3. Benutzerdefinierte Organisationsrichtlinie erzwingen:

    Sie können eine boolesche Einschränkung erzwingen, indem Sie eine Organisationsrichtlinie erstellen, die darauf verweist, und diese Organisationsrichtlinie dann auf eine Google Cloud -Ressource anwenden.

    Console

    1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

      Zu den Organisationsrichtlinien

    2. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.
    3. Wählen Sie auf der Seite Organisationsrichtlinien die gewünschte Einschränkung aus, um die Seite Richtliniendetails aufzurufen.
    4. Zum Konfigurieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.
    5. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
    6. Klicken Sie auf Regel hinzufügen.
    7. Wählen Sie im Abschnitt Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.
    8. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungsfreie Regel hinzufügen oder die Richtlinie kann nicht gespeichert werden. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
    9. Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.
    10. Klicken Sie auf Richtlinie festlegen, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

    gcloud

    Um eine Organisationsrichtlinie zu erstellen, die eine boolesche Einschränkung erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist: 

          name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt, für das Sie die Einschränkung erzwingen möchten
    • CONSTRAINT_NAME: der Name der Einschränkung, die Sie erzwingen möchten. Beispiel: compute.disableAllIpv6

    Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen: 

        gcloud org-policies set-policy POLICY_PATH

    Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Mit der Einschränkung iam.managed.allowedPolicyMembers die domaineingeschränkte Freigabe implementieren

Console

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie die Organisationsrichtlinie bearbeiten möchten. Auf der Seite Organisationsrichtlinien wird eine filterbare Liste der Einschränkungen für Organisationsrichtlinien angezeigt, die für diese Ressource verfügbar sind.

  3. Wählen Sie in der Liste die verwaltete Einschränkung Zugelassene Richtlinienmitglieder in IAM-Zulassungsrichtlinien einschränken aus.

  4. Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten.

  5. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Wählen Sie Regel hinzufügen aus und aktualisieren Sie dann die Regel für die Organisationsrichtlinie:

  7. Wählen Sie unter Erzwingung die Option An aus.

  8. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

  9. Konfigurieren Sie im Bereich Parameter die Mitglieder und Hauptkontosätze, denen Rollen in Ihrer Organisation zugewiesen werden sollen, und klicken Sie dann auf Speichern.

  10. Optional: Wenn Sie sich eine Vorschau der Auswirkungen der Änderung der Organisationsrichtlinie ansehen möchten, bevor sie erzwungen wird, klicken Sie auf Änderungen testen. Weitere Informationen zum Testen von Änderungen an Organisationsrichtlinien finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  11. Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, klicken Sie auf Probelaufrichtlinie festlegen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

  12. Nachdem Sie überprüft haben, ob die Organisationsrichtlinie im Modus „Probelauf“ wie vorgesehen funktioniert, können Sie die Live-Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

gcloud

  1. Erstellen Sie eine YAML-Datei, um die Organisationsrichtlinie zu definieren:

    name: organizations/ORG_ID/policies/CONSTRAINT_NAME
spec:
rules:
 - enforce: true
 - parameters:
   allowedMemberSubjects:
     - ALLOWED_MEMBER_1
     - ALLOWED_MEMBER_2
   allowedPrincipalSets:
     - ALLOWED_PRINCIPAL_SET_1
     - ALLOWED_PRINCIPAL_SET_2

    Ersetzen Sie Folgendes:

    • ORG_ID: Die numerische ID Ihrer Google Cloud-Organisation.

    • CONSTRAINT_NAME: Der Name der Einschränkung, die Sie festlegen möchten.

    • ALLOWED_MEMBER_1, ALLOWED_MEMBER_2: Die Mitglieder, denen Rollen in Ihrer Organisation zugewiesen werden sollen. Beispiel: user:example-user@example.com.

    • ALLOWED_PRINCIPAL_SET_1, ALLOWED_PRINCIPAL_SET_2: Die Hauptkonten, denen Rollen in Ihrer Organisation zugewiesen werden sollen. Beispiel: //cloudresourcemanager.googleapis.com/organizations/0123456789012.

    Optional können Sie der rules einen condition-Block hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

  2. Legen Sie die Richtlinie mit dem Befehl org-policies set-policy und dem Flag spec fest:

    gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec

    Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

Informationen dazu, wie Sie die Richtlinie im Probelaufmodus testen, bevor Sie sie anwenden, finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.

Informationen dazu, wie Sie die Richtlinie simulieren, bevor Sie sie erzwingen, finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

REST

Verwenden Sie die Methode organizations.policies.create, um die Organisationsrichtlinie festzulegen.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

Der JSON-Text der Anfrage enthält die Definition einer Organisationsrichtlinie. Wenn diese Einschränkung keine Parameter unterstützt, lassen Sie den Block parameters unter rules weg.

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "enforce": true,
        "parameters": {
          "allowedMemberSubjects": [
            "ALLOWED_MEMBER_1",
            "ALLOWED_MEMBER_2"
          ],
          "allowedPrincipalSets": [
            "ALLOWED_PRINCIPAL_SET_1",
            "ALLOWED_PRINCIPAL_SET_2"
          ]
        }
      }
    ]
  }
}

Ersetzen Sie Folgendes:

  • ORG_ID: Die numerische ID Ihrer Google Cloud-Organisation.

  • CONSTRAINT_NAME: Der Name der Einschränkung, die Sie festlegen möchten.

  • ALLOWED_MEMBER_1, ALLOWED_MEMBER_2: Die Mitglieder, denen Rollen in Ihrer Organisation zugewiesen werden sollen. Beispiel: user:example-user@example.com.

  • ALLOWED_PRINCIPAL_SET_1, ALLOWED_PRINCIPAL_SET_2: Die Hauptkonten, denen Rollen in Ihrer Organisation zugewiesen werden sollen. Beispiel: //cloudresourcemanager.googleapis.com/organizations/0123456789012.

Optional können Sie der rules einen condition-Block hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Informationen dazu, wie Sie die Richtlinie im Probelaufmodus testen, bevor Sie sie anwenden, finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.

Informationen dazu, wie Sie die Richtlinie simulieren, bevor Sie sie erzwingen, finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

Mit der Einschränkung iam.allowedPolicyMemberDomains die domaineingeschränkte Freigabe implementieren

Die Domaineinschränkung ist eine Art von Listeneinschränkung. Google Workspace-Kundennummern und Google Cloud -Organisationsressourcen-IDs können der Liste allowed_values einer Domaineinschränkung hinzugefügt und daraus entfernt werden. Die Domaineinschränkung unterstützt keine abgelehnten Werte und eine Organisationsrichtlinie kann nicht mit IDs in der Liste denied_values gespeichert werden.

Alle Domains, die mit einem Google Workspace-Konto oder einer in der allowed_values aufgeführten Organisationsressource verknüpft sind, sind gemäß der Organisationsrichtlinie zulässig. Alle anderen Domains werden von der Organisationsrichtlinie abgelehnt.

Sie können eine Organisationsrichtlinie so festlegen, dass die Domaineinschränkung für alle Ressourcen gilt, die in der Liste der unterstützten Ressourcen enthalten sind. Beispiele: Cloud Storage-Buckets, BigQuery-Datasets oder Compute Engine-VMs.

Console

So legen Sie eine Organisationsrichtlinie mit einer Domaineinschränkung fest:

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Organisationsressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien in der Liste der Einschränkungen die Option Freigabe auf Domainebene aus.

  4. Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten.

  5. Wählen Sie unter Gilt für die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option „Benutzerdefiniert“ aus.

  8. Wählen Sie unter Richtlinientyp Zulassen aus.

  9. Geben Sie unter Benutzerdefinierte Werte eine Ressourcen-ID der Organisation oder eine Google Workspace-Kundennummer in das Feld ein.

    Wenn Sie die Organisationsressourcen-ID eingeben, können den folgenden Hauptkonten Rollen in Ihrer Organisation zugewiesen werden:

    • Alle Pools der Mitarbeiteridentitätsföderation in Ihrer Organisation
    • Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
    • Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind.

    Wenn Sie die Google Workspace-Kundennummer eingeben, können den folgenden Hauptpersonen Rollen in Ihrer Organisation zugewiesen werden:

    • Alle Identitäten in allen Domains, die mit Ihrer Google Workspace-Kunden-ID verknüpft sind
    • Alle Pools der Mitarbeiteridentitätsföderation in Ihrer Organisation
    • Alle Dienstkonten und Workload Identity-Pools in allen Projekten in der Organisation
    • Alle Dienst-Agents, die mit Ressourcen in Ihrer Organisation verknüpft sind.

  10. Wenn Sie mehrere IDs hinzufügen möchten, klicken Sie auf Neuer Richtlinienwert, um ein zusätzliches Feld zu erstellen.

  11. Klicken Sie auf Fertig.

  12. Klicken Sie optional auf Bedingung hinzufügen, um die Domaineinschränkung von einem Tag abhängig zu machen.

    1. Geben Sie im Feld Titel einen Namen für die Bedingung ein.

    2. Geben Sie im Feld Beschreibung eine Beschreibung für die Bedingung ein. Die Beschreibung enthält Kontext zu den erforderlichen Tags und deren Auswirkungen auf Ressourcen.

    3. Sie können den Builder für IAM-Bedingungen verwenden, um eine Bedingung zu erstellen, für die ein bestimmtes Tag erforderlich ist, damit die Einschränkung wirksam wird.

      1. Wählen Sie auf dem Tab Builder für IAM-Bedingungen im Menü Bedingungstyp die Option Tag aus.

      2. Wählen Sie den Operator für Ihre Bedingung aus. Um ein ganzes Tag abzugleichen, verwenden Sie den Operator Matches. Verwenden Sie zum Abgleich eines Tag-Schlüssels und eines Tag-Werts den Operator Matches ID

      3. Wenn Sie den Operator Übereinstimmungen ausgewählt haben, geben Sie den Namen des Tags mit dem Wert ein. Wenn Sie den Operator Übereinstimmungs-ID ausgewählt haben, geben Sie die Schlüssel- und Wert-IDs ein.

      4. Sie können mehrere Bedingungen erstellen, indem Sie auf Hinzufügen klicken. Wenn Sie eine weitere Bedingung hinzufügen, können Sie die bedingte Logik so einstellen, dass sie alle erfordert, indem Sie auf Und umschalten. Sie können die bedingte Logik festlegen, dass nur eine der Bedingungen erfüllt sein muss, indem Sie auf Oder umschalten.

      5. Sie können einen Ausdruck löschen, indem Sie auf das große X rechts neben den Bedingungsfeldern klicken.

      6. Wenn Sie mit der Bearbeitung der Bedingungen fertig sind, klicken Sie auf Speichern.

  13. Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.

gcloud

Richtlinien können über die Google Cloud CLI festgelegt werden. Führen Sie folgenden Befehl aus, um eine Richtlinie mit Domaineinschränkung zu erstellen:

Führen Sie folgenden Befehl aus, um eine Organisationsrichtlinie mit Domaineinschränkung festzulegen:

gcloud org-policies set-policy POLICY_PATH

Dabei ist POLICY_PATH der vollständige Pfad zur YAML-Datei der Organisationsrichtlinie, die in etwa so aussehen sollte:

name: organizations/ORGANIZATION_ID/policies/iam.allowedPolicyMemberDomains
spec:
  rules:
  - condition: # This condition applies to the values block.
      expression: "resource.matchTag('ORGANIZATION_ID/environment', 'dev')"
    values:
      allowedValues:
      - PRINCIPAL_SET
  - values:
      allowedValues:
      - PRINCIPAL_SET

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID durch die ID der Organisationsressource, für die diese Richtlinie festgelegt werden soll.

  • PRINCIPAL_SET für Cloud Identity-Hauptkonto-IDs, die Sie zulassen möchten, einschließlich der Ressourcen-ID der Organisation. Beispiel: is:principalSet://iam.googleapis.com/organizations/01234567890123.

    Für alle anderen Identitäten, die Sie zulassen möchten, müssen Google Workspace-Kundennummern verwendet werden. Beispiel: is:C03g5e3bc.

Nur Identitäten, die der Organisationsressourcen-ID oder Google Workspace-Domain aus der Liste der allowed_values angehören, werden in IAM-Richtlinien zugelassen, sobald diese Organisationsrichtlinie angewendet wurde. Nutzer und Gruppen von Google Workspace müssen untergeordnete Elemente dieser Organisationsressource oder Teil dieser Google Workspace-Domain sein und IAM-Dienstkonten müssen untergeordnete Elemente einer Organisationsressource sein, die mit der angegebenen Google Workspace-Domain verknüpft ist.

Wenn Sie beispielsweise eine Organisationsrichtlinie erstellt haben, die nur die Google Workspace-Kundennummer Ihres Unternehmens enthält, können ab diesem Punkt nur Hauptkonten dieser Domain zur IAM-Richtlinie hinzugefügt werden.

Beispiel für Fehlermeldung

Wenn gegen die vordefinierte Einschränkung für iam.allowedPolicyMemberDomains verstoßen wird, d. h., wenn versucht wird, ein Hauptkonto hinzuzufügen, das nicht in der Liste der allowed_values enthalten ist, schlägt der Vorgang fehl und eine Fehlermeldung wird angezeigt.

Console

Screenshot der Console

gcloud 

ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION:
One or more users named in the policy do not belong to a permitted customer.

ID einer Organisationsressource abrufen

Sie können die Ressourcen-ID Ihrer Organisation über die Google Cloud -Console, die gcloud CLI oder die Cloud Resource Manager API abrufen.

Console

So rufen Sie die Ressourcen-ID Ihrer Organisation über die Google Cloud -Console ab:

  1. Rufen Sie die Google Cloud -Konsole auf:

    Rufen Sie die Google Cloud -Konsole auf.

  2. Wählen Sie in der Projektauswahl oben auf der Seite die Ressource Ihrer Organisation aus.
  3. Klicken Sie auf der rechten Seite auf das Dreipunkt-Menü und dann auf Einstellungen.

Auf der Seite Einstellungen wird die ID Ihrer Organisationsressource angezeigt.

gcloud

Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:

gcloud organizations list

Dadurch wird eine Liste aller Organisationsressourcen ausgegeben, zu denen Sie gehören, sowie die entsprechenden Organisationsressourcen-IDs.

API

Wenn Sie die Organisationsressourcen-ID mithilfe der Cloud Resource Manager API ermitteln möchten, verwenden Sie die Methode organizations.search() und fügen Sie eine Abfrage für Ihre Domain hinzu. Beispiel:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Die Antwort enthält die Metadaten der Organisationsressource, die zu altostrat.com gehört, einschließlich der Organisationsressourcen-ID.

Nachdem Sie die Ressourcen-ID Ihrer Organisation haben, müssen Sie die richtige Kennung für die zugehörigen Hauptberechtigte verwenden. Beispiel:

principalSet://iam.googleapis.com/organizations/01234567890123

Weitere Informationen zu IAM-Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.

Google Workspace-Kundennummer abrufen

Die von der Domaineinschränkung verwendete Google Workspace-Kundennummer kann auf zwei Arten abgerufen werden:

gcloud

Mit dem Befehl gcloud orgations list können Sie alle Organisationen auflisten lassen, für die Sie die Berechtigung resourcemanager.organizations.get haben:

gcloud organizations list

Dieser Befehl gibt DISPLAY_NAME, ID (Organisations-ID) und DIRECTORY_CUSTOMER_ID zurück. Die Google Workspace-Kundennummer ist die DIRECTORY_CUSTOMER_ID.

API

Die Google Workspace Directory API kann zum Abrufen einer Google Workspace-Kundennummer verwendet werden.

Wenn Sie als Google Workspace-Administrator angemeldet sind, können Sie die Dokumentation zur Customers: get API-Methode aufrufen und auf Ausführen klicken. Nach der Autorisierung wird in der Antwort Ihre Kundennummer angezeigt.

Alternativ können Sie einen API-Client verwenden:

  1. Fordern Sie ein OAuth-Zugriffstoken für den Bereich https://www.googleapis.com/auth/admin.directory.customer.readonly an.

  2. Führen Sie den folgenden Befehl aus, um die Google Workspace Directory API abzufragen:

    curl -# -X GET "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \
-H "Authorization: Bearer $access_token" -H "Content-Type: application/json"

Dieser Befehl gibt eine JSON-Antwort mit den Kundeninformationen zurück. Die Google Workspace-Kundennummer ist die id.

Ausnahmen für die domaineingeschränkte Freigabe konfigurieren

Einige Google Cloud -Dienste verwenden Dienstkonten, Dienst-Agenten und andere Konten, um Aktionen in Ihrem Namen auszuführen. Durch die domainbasierte Freigabe kann verhindert werden, dass diesen Konten automatisch die erforderlichen IAM-Rollen zugewiesen werden. Dies kann dazu führen, dass bestimmte Aktionen fehlschlagen.

In der folgenden Tabelle sind Aktionen in Google Cloud aufgeführt, die von der domainbeschränkten Freigabe betroffen sein könnten. Außerdem werden die Konten aufgeführt, denen automatisch Rollen zugewiesen werden müssen, damit diese Aktionen erfolgreich ausgeführt werden können.

Wenn Sie benutzerdefinierte Organisationsrichtlinien oder die von iam.managed.allowedPolicyMembers verwaltete Einschränkung verwenden, um die domaineingeschränkte Freigabe zu implementieren, können Sie diese Konten als Ausnahmen zur Einschränkung hinzufügen. Wenn Sie die vordefinierte Einschränkung iam.allowedPolicyMemberDomains verwenden, um die freigabebeschränkte Domain zu implementieren, müssen Sie möglicherweise den Kontozugriff für diese Konten erzwingen, damit sie die aufgeführten Aktionen ausführen können.

Aktion Konto
Google Analytics 360 mit BigQuery verknüpfen analytics-processing-dev@system.gserviceaccount.com
Daten öffentlich freigeben allUsers und allAuthenticatedUsers
BigQuery-Logsenke für ein Rechnungskonto aktivieren bUNIQUE_ID@gcp-sa-loggingiam.gserviceaccount.com
Abrechnungsexport in einen Bucket aktivieren 509219875288-kscf0cheafmf4f6tp1auij5me8qakbin@developer.gserviceaccount.com
Logging für Speicherzugriff aktivieren cloud-storage-analytics@google.com
Firebase API aktivieren
  • service-PROJECT_NUMBER@gcp-sa-firebase.iam.gserviceaccount.com
  • firebase-service-account@firebase-sa-management.iam.gserviceaccount.com
Pub/Sub als Endpunkt für eine Google Chat-App verwenden chat-api-push@system.gserviceaccount.com

Kontozugriff erzwingen

Wenn Sie den Kontozugriff für ein Projekt unter Verletzung von Domaineinschränkungen erzwingen müssen, gehen Sie so vor:

  1. Entfernen Sie die Organisationsrichtlinie, die die Domaineinschränkung enthält.

  2. Gewähren Sie Kontozugriff auf das Projekt.

  3. Implementieren Sie die Organisationsrichtlinie mit der Domaineinschränkung noch einmal.

Alternativ können Sie einer Google-Gruppe, die die entsprechenden Dienstkonten enthält, Zugriff gewähren:

  1. Erstellen Sie eine Google-Gruppe innerhalb der zugelassenen Domain.

  2. Im Administratorbereich von Google Workspace können Sie die Domaineinschränkung für diese Gruppe deaktivieren.

  3. Fügen Sie der Gruppe das Dienstkonto hinzu.

  4. Gewähren Sie mithilfe der IAM-Richtlinie Zugriff auf die Google-Gruppe.