Identitäten nach Domain einschränken

In Resource Manager steht eine Domaineinschränkung zur Verfügung, mit der Sie in Organisationsrichtlinien die Ressourcenfreigabe auf Basis von Domains beschränken können. Diese Einschränkung ermöglicht Ihnen, die Gruppe von Identitäten zu begrenzen, die in Richtlinien von Cloud Identity and Access Management verwendet werden dürfen.

In Organisationsrichtlinien lässt sich mit dieser Einschränkung die Ressourcenfreigabe auf eine bestimmte oder einen angegebenen Satz von G Suite-Domains beschränken, wobei Ausnahmen pro Ordner oder pro Projekt gewährt werden können. Wenn eine Domaineinschränkung festgelegt wurde, gilt diese nur für zukünftige Änderungen an Cloud IAM-Richtlinien. Vorhandene Richtlinien bleiben davon unberührt. Daher haben Identitäten aus anderen Organisationen weiterhin Zugriff, wenn sie vor dem Anwenden der Einschränkung in die Organisationsrichtlinie aufgenommen wurden.

Die Domaineinschränkung basiert auf der Listeneinschränkung iam.allowedPolicyMemberDomains.

Wird diese Einschränkung für eine G Suite-Domain festgelegt, wirkt sie sich auf alle Identitäten unter dieser Domain aus. Dies schließt Nutzerkonten ein, die in der G Suite-Konsole und nicht in der Google Cloud Platform Console verwaltet werden.

Organisationsrichtlinie festlegen

Die Domaineinschränkung ist eine Art von Listeneinschränkung. G Suite-Kunden-IDs können in die Liste allowed_values einer Domaineinschränkung aufgenommen und aus dieser entfernt werden. Alle mit diesem G Suite-Konto verknüpften Domains sind von der Organisationsrichtlinie betroffen.

Sie müssen die Berechtigung haben, die Organisationsrichtlinien zu ändern, um diese Einschränkung festzulegen. Die Rolle resourcemanager.organizationAdmin hat beispielsweise die Berechtigung, Einschränkungen für Organisationsrichtlinien festzulegen. Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden können.

Console

So legen Sie eine Organisationsrichtlinie mit einer Domaineinschränkung fest:

  1. Rufen Sie in der Google Cloud Platform Console die Seite "Organisationsrichtlinien" auf.
    Weiter zur Seite "Organisationsrichtlinien"
  2. Klicken Sie auf Auswählen.
  3. Wählen Sie die Organisation aus, für die Sie die Richtlinie festlegen möchten.
  4. Klicken Sie auf Domaineingeschränkte Freigabe.
  5. Klicken Sie auf Bearbeiten.
  6. Wählen Sie unter Gilt für die Option Anpassen aus.
  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.
  8. Geben Sie eine G Suite-Kunden-ID in das Textfeld Richtlinienwert ein und drücken Sie die Eingabetaste. Auf diese Weise können mehrere IDs eingegeben werden.
  9. Klicken Sie auf Speichern. Es wird eine Benachrichtigung angezeigt, in der die Aktualisierung der Richtlinie bestätigt wird.

gcloud

Richtlinien können über das Befehlszeilentool gcloud festgelegt werden. Führen Sie folgenden Befehl aus, um eine Richtlinie mit Domaineinschränkung zu erstellen:

gcloud alpha resource-manager org-policies allow \
    --organization 'ORGANIZATION_ID' \
    iam.allowedPolicyMemberDomains 'DOMAIN_ID_1' \
    'DOMAIN_ID_2'

Dabei gilt:

  • ORGANIZATION_ID ist die ID des Organisationsknotens, für den diese Richtlinie festgelegt wird.
  • DOMAINID# ist/sind die G Suite-Kunden-ID(s), für die Sie Zugriff gewähren möchten.

Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.

Beispiel für eine Organisationsrichtlinie

Das folgende Code-Snippet zeigt eine Organisationsrichtlinie mit Domaineinschränkung:

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.allowedPolicyMemberDomains"
  etag: "\a\005L\252\122\321\946\334"
  list_policy {
  allowed_values: "C03xgje4y"
  allowed_values: "C03g5e3bc"
  allowed_values: "C03t213bc"
  }
}

Die allowed_values sind G Suite-Kunden-IDs wie C03xgje4y. Nur Identitäten aus einer G Suite-Domain, die in der Liste allowed_values enthalten ist, werden nach dem Anwenden dieser Organisationsrichtlinie für Cloud IAM-Richtlinien zugelassen. Die G Suite-Nutzer und -Gruppen müssen zu dieser G Suite-Domain gehören und Cloud IAM-Dienstkonten müssen untergeordnete Elemente einer Organisationsressource sein, die mit der jeweiligen G Suite-Domain verknüpft ist.

Wenn Sie beispielsweise beim Erstellen einer Organisationsrichtlinie nur die Kunden-ID der G Suite Ihres Unternehmens angegeben haben, können von diesem Punkt an nur Mitglieder aus dieser Domain der Cloud IAM-Richtlinie hinzugefügt werden.

Beispiel für Fehlermeldung

Wenn gegen die Domaineinschränkung der Organisation verstoßen wird, weil ein Mitglied hinzugefügt werden soll, das nicht in der Liste allowed_values enthalten ist, wird eine Fehlermeldung angezeigt und der Vorgang abgebrochen.

Konsole

Screenshot der Console

gcloud

ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION: One or
more users in the policy do not belong to a permitted customer.

G Suite-Kunden-ID abrufen

Die G Suite-Kunden-ID, die von der Domaineinschränkung verwendet wird, kann auf zwei Arten abgerufen werden:

gcloud

Mit dem Befehl gcloud organizations list können Sie alle Organisationen auflisten, für die Sie die Berechtigung resourcemanager.organizations.get haben:

gcloud alpha organizations list

Dieser Befehl gibt den DISPLAY_NAME, die ID (Organisations-ID) und die DIRECTORY_CUSTOMER_ID zurück. Die G Suite-Kunden-ID ist die DIRECTORY_CUSTOMER_ID.

API

Die G Suite Directory API kann zum Abrufen einer G Suite-Kunden-ID verwendet werden.

  1. Rufen Sie ein OAuth-Zugriffstoken für den Bereich https://www.googleapis.com/auth/admin.directory.customer.readonly ab.
  2. Führen Sie folgenden Befehl aus, um die G Suite Directory API abzufragen:

    curl -# -X GET "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \
    -H "Authorization: Bearer $access_token" -H "Content-Type: application/json"
    

Dieser Befehl gibt eine JSON-Antwort mit den Kundeninformationen zurück. Die G Suite-Kunden-ID ist die id.

Subdomains einschränken

Die Domaineinschränkung funktioniert, indem der Zugriff auf alle Domains beschränkt wird, die einer angegeben G Suite-Kunden-ID zugeordnet sind. Jedes G Suite-Konto hat genau eine primäre Domain und keine oder mehrere sekundäre Domains. Alle Domains, die der G Suite-Kunden-ID zugeordnet sind, unterliegen der Einschränkung.

Durch das Anwenden der Domaineinschränkung auf eine Ressource können Sie die primäre Domain und alle sekundären Domains, die auf diese Ressource und alle ihre untergeordneten Elemente in der Ressourcenhierarchie zugreifen können, steuern.

Weitere Beispiele zu gängigen Kombinationen von G Suite-Domains und Subdomains finden Sie in der folgenden Tabelle:

Primäre Domain Subdomain Domaineinschränkung Ist user@sub.domain.com zulässig?
domain.com Keine Zulassen: domain.com Nein
domain.com sub.domain.com Zulassen: domain.com Ja
domain.com sub.domain.com Zulassen: sub.domain.com Ja
sub.domain.com domain.com Zulassen: sub.domain.com Ja
sub.domain.com Keine Zulassen: sub.domain.com Ja

Um den Zugriff von Domaineinschränkungen zwischen zwei Domains zu unterscheiden, muss jede Domain mit einem anderen G Suite-Konto verknüpft sein. Jedes G Suite-Konto ist einem Organisationsknoten zugeordnet und es können eigene Organisationsrichtlinien angewendet werden. Für eine detailliertere Zugriffssteuerung können Sie daher domain.com mit dem einen und sub.domain.com mit einem anderen G Suite-Konto verknüpfen. Weitere Informationen finden Sie unter Mehrere Organisationen verwalten.

Bekannte Fehler beheben

Dienstkonto für den Cloud-Abrechnungsexport

Die Aktivierung des Abrechnungsexports zu einem Bucket schlägt wahrscheinlich fehl, wenn diese Einschränkung aktiv ist. Verwenden Sie diese Einschränkung nicht für Buckets, die für den Abrechnungsexport genutzt werden.

Die E-Mail-Adresse des Dienstkontos für den Cloud-Abrechnungsexport lautet: 509219875288-kscf0cheafmf4f6tp1auij5me8qakbin@developer.gserviceaccount.com

Cloud Composer

Zum Erstellen einer neuen Umgebung müssen Sie zuerst die Domaineinschränkung für das jeweilige Projekt deaktivieren. Nachdem Sie die Umgebung erstellt haben, können Sie die Einschränkung wieder aktivieren.

Cloud Functions

Damit Sie öffentliche Funktionen erstellen können, müssen Sie die Domaineinschränkung für das gewünschte Projekt deaktivieren.

Cloud Run

Damit Sie öffentliche Dienste erstellen können, müssen Sie die Domaineinschränkung für das gewünschte Projekt deaktivieren.

Kontozugriff erzwingen

Wenn Sie den Kontozugriff für ein Projekt unter Verletzung von Domaineinschränkungen erzwingen müssen, gehen Sie so vor:

  1. Entfernen Sie die Organisationsrichtlinie, die die Domaineinschränkung enthält.

  2. Gewähren Sie Kontozugriff auf das Projekt.

  3. Implementieren Sie die Organisationsrichtlinie mit der Domaineinschränkung noch einmal.

Alternativ können Sie eine Google-Gruppe auf die weiße Liste setzen:

  1. Erstellen Sie eine Google-Gruppe innerhalb der zugelassenen Domain.

  2. Deaktivieren Sie im G Suite-Administratorbereich die Domaineinschränkung für diese Gruppe.

  3. Fügen Sie der Gruppe das Dienstkonto hinzu.

  4. Implementieren Sie die Organisationsrichtlinie mit der Domaineinschränkung noch einmal.

  5. Gewähren Sie der Google-Gruppe in der Cloud IAM-Richtlinie Zugriff.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager