Limitazione delle identità per dominio

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Resource Manager fornisce un vincolo di limitazione del dominio che può essere utilizzato nei criteri dell'organizzazione per limitare la condivisione delle risorse in base al dominio. Questo vincolo consente di limitare l'insieme di identità che è possibile utilizzare nei criteri di Identity and Access Management.

I criteri dell'organizzazione possono utilizzare questo vincolo per limitare la condivisione delle risorse a un insieme specificato di uno o più domini Google Workspace e possono essere concesse eccezioni in base alla cartella o al progetto. Per ulteriori informazioni sull'aggiunta di eccezioni, vedi Eseguire l'override del criterio dell'organizzazione per un progetto.

Il vincolo di limitazione del dominio non è retroattivo. Una volta impostata una limitazione di dominio, questa limitazione si applicherà alle modifiche dei criteri IAM apportate da quel momento in poi e non alle modifiche precedenti. Il vincolo di limitazione del dominio verrà applicato a qualsiasi modifica dei criteri IAM, incluse le modifiche apportate da un agente di servizio in risposta a un'altra azione. Ad esempio, se disponi di un servizio automatico che importa i set di dati BigQuery, un agente di servizio BigQuery apporterà modifiche ai criteri IAM sul set di dati appena creato. Questa azione sarà limitata dal vincolo di limitazione del dominio e bloccata.

Ad esempio, considera due organizzazioni correlate: examplepetstore.com e altostrat.com. Hai concesso a un identità examplepetstore.com un ruolo IAM in altostrat.com. In seguito, hai deciso di limitare le identità in base al dominio e hai implementato un criterio dell'organizzazione con il vincolo di limitazione del dominio in altostrat.com. In questo caso, le identità examplepetstore.com esistenti non perderebbero l'accesso in altostrat.com. Da quel punto, tu puoi assegnare solo le identità.

Il vincolo di limitazione del dominio si basa sul vincolo di elenco iam.allowedPolicyMemberDomains.

Quando questo vincolo viene impostato su un dominio Google Workspace, influisce su tutte le identità che si trovano in quel dominio. Sono inclusi gli account utente gestiti nella console di Google Workspace e non all'interno di Google Cloud Console.

Impostazione del criterio dell'organizzazione

Il vincolo di limitazione del dominio è un tipo di vincolo di elenco. Gli ID cliente Google Workspace possono essere aggiunti e rimossi dall'elenco allowed_values di un vincolo di limitazione di dominio. Il vincolo di limitazione di dominio non supporta il rifiuto dei valori e un criterio dell'organizzazione non può essere salvato con ID nell'elenco denied_values.

Tutti i domini associati a un account Google Workspace elencato in allowed_values saranno consentiti dal criterio dell'organizzazione. Tutti gli altri domini saranno rifiutati dal criterio dell'organizzazione.

Per impostare questo vincolo, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad esempio, il ruolo orgpolicy.policyAdmin è autorizzato a impostare vincoli dei criteri dell'organizzazione. Il ruolo resourcemanager.organizationAdmin è autorizzato ad aggiungere un utente come amministratore dei criteri dell'organizzazione. Leggere la pagina Utilizzo dei vincoli per saperne di più sulla gestione dei criteri a livello di organizzazione.

console

Per impostare un criterio dell'organizzazione, tra cui un vincolo di limitazione di dominio:

  1. Vai alla pagina Criteri dell'organizzazione in Google Cloud Console.
    Vai alla pagina Criteri dell'organizzazione
  2. Seleziona il selettore dei progetti nella parte superiore della pagina.
  3. Dal selettore dei progetti, seleziona l'organizzazione sulla quale vuoi impostare il criterio.
  4. In Criteri dell'organizzazione, seleziona Condivisione limitata per i domini dall'elenco dei vincoli.
  5. Fai clic su Modifica.
  6. Nella sezione Applicabile a, seleziona Personalizza.
  7. Fai clic su Aggiungi regola.
  8. Sotto Valori del criterio, seleziona il criterio dell'organizzazione per consentire tutti i valori oppure specifica un insieme personalizzato di valori. Il vincolo di limitazione del dominio non supporta Nega tutti.
  9. In Tipo di criterio, seleziona Consenti. Il vincolo di limitazione del dominio non supporta i valori Nega.
  10. In Valori personalizzati, inserisci un ID cliente Google Workspace nella casella di testo. Se vuoi aggiungere più ID, fai clic su Nuovo valore criterio per creare una casella di testo aggiuntiva.
  11. Fai clic su Fine.
  12. Fai clic su Save (Salva). Verrà visualizzata una notifica per confermare che le norme sono state aggiornate.

gcloud

È possibile impostare i criteri tramite Google Cloud CLI. Per creare un criterio che includa il vincolo di limitazione del dominio, esegui il comando seguente:

gcloud resource-manager org-policies allow \
    --organization 'ORGANIZATION_ID' \
    iam.allowedPolicyMemberDomains 'DOMAIN_ID_1' \
    'DOMAIN_ID_2'

Dove:

Per saperne di più sull'uso dei vincoli nei criteri dell'organizzazione, vedi Utilizzo dei vincoli.

Esempio di criterio dell'organizzazione

Il seguente snippet di codice mostra un criterio dell'organizzazione che include il vincolo di limitazione del dominio:

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.allowedPolicyMemberDomains"
  etag: "\a\005L\252\122\321\946\334"
  list_policy {
  allowed_values: "is:C03xgje4y"
  allowed_values: "is:C03g5e3bc"
  allowed_values: "is:C03t213bc"
  }
}

I allowed_values sono ID cliente di Google Workspace, come C03xgje4y. Dopo l'applicazione di questo criterio dell'organizzazione, saranno consentite solo le identità appartenenti a un dominio Google Workspace dall'elenco di allowed_values. Gli utenti e i gruppi di Google Workspace devono far parte del dominio Google Workspace e gli account di servizio IAM devono essere secondari di una risorsa dell'organizzazione associata al dominio Google Workspace specificato.

Ad esempio, se hai creato un criterio dell'organizzazione solo con l'ID cliente di Google Workspace della tua azienda, solo le entità di quel dominio potrebbero essere aggiunte al criterio IAM da quel momento in poi.

Esempio di messaggio di errore

Quando il vincolo dell'organizzazione relativo alla restrizione dei domini viene violato provando ad aggiungere un'entità che non è inclusa nell'elenco allowed_values, l'operazione non andrà a buon fine e verrà visualizzato un messaggio di errore.

gcloud

ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION:
One or more users named in the policy do not belong to a permitted customer.

console

Screenshot della console

Recupero di un ID cliente Google Workspace

Puoi ottenere l'ID cliente Google Workspace utilizzato dal vincolo di limitazione del dominio in due modi:

gcloud

Il comando gcloud organizations list può essere utilizzato per visualizzare tutte le organizzazioni per le quali hai l'autorizzazione resourcemanager.organizations.get:

gcloud organizations list

Questo comando restituirà DISPLAY_NAME, ID (ID organizzazione) e DIRECTORY_CUSTOMER_ID. L'ID cliente Google Workspace è DIRECTORY_CUSTOMER_ID.

Server

L'API Google Workspace Directory può essere utilizzata per recuperare un ID cliente Google Workspace.

Dopo aver eseguito l'accesso come amministratore di Google Workspace, puoi consultare la documentazione relativa al metodo API Customers: get e fare clic su Esegui. Dopo l'autorizzazione, la risposta mostrerà il tuo ID cliente.

In alternativa, puoi utilizzare un client API:

  1. Ottieni un token di accesso OAuth per l'ambito https://www.googleapis.com/auth/admin.directory.customer.readonly.
  2. Esegui questo comando per eseguire una query sull'API Google Workspace Directory:

    curl -# -X GET "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \
    -H "Authorization: Bearer $access_token" -H "Content-Type: application/json"
    

Questo comando restituirà una risposta JSON che include le informazioni del cliente. L'ID cliente di Google Workspace è id.

Limitazione dei sottodomini

Il vincolo di limitazione dei domini limita l'accesso a tutti i domini associati a un determinato ID cliente Google Workspace. Ogni account Google Workspace ha esattamente un dominio principale e zero o più domini secondari. Tutti i domini associati all'ID cliente Google Workspace saranno soggetti al vincolo.

L'applicazione del vincolo di limitazione del dominio a una risorsa controlla il dominio principale e tutti i domini secondari che possono accedere alla risorsa e ai suoi discendenti nella gerarchia delle risorse.

Per esempi di combinazioni comuni di domini e sottodomini di Google Workspace, consulta la tabella seguente:

Dominio principale Sottodominio Vincolo di limitazioni del dominio user@sub.domain.com è consentito?
dominio.com nessuno Consenti: dominio.com No
dominio.com sub.domain.com Consenti: dominio.com
dominio.com sub.domain.com Consenti: sub.domain.com
sub.domain.com dominio.com Consenti: sub.domain.com
sub.domain.com nessuno Consenti: sub.domain.com

Per differenziare l'accesso con restrizioni di dominio tra due domini, ogni dominio deve essere associato a un account Google Workspace diverso. A ogni account Google Workspace è associato un nodo organizzazione e possono essere applicati i criteri dell'organizzazione. In questo modo puoi associare domain.com a un account Google Workspace e sub.domain.com a un altro per un controllo degli accessi più granulare. Per ulteriori informazioni, consulta la pagina Gestire più organizzazioni.

Risoluzione dei problemi noti

I criteri dell'organizzazione non sono retroattivi. Se devi forzare una modifica della gerarchia delle risorse che viola un vincolo applicato, puoi disattivare il criterio dell'organizzazione, apportare la modifica e poi abilitare di nuovo il criterio dell'organizzazione.

Le seguenti sezioni descrivono i problemi noti relativi ai servizi che possono verificarsi quando questo vincolo viene applicato.

Condivisione dei dati pubblica

Alcuni prodotti Google Cloud come BigQuery, Cloud Functions, Cloud Run, Cloud Storage e Pub/Sub supportano la condivisione di dati pubblici. L'applicazione del vincolo di condivisione limitata nel dominio in un criterio dell'organizzazione impedirà la condivisione dei dati pubblici.

Per condividere pubblicamente i dati, disattiva temporaneamente il vincolo di condivisione limitato del dominio per la risorsa del progetto in cui risiedono i dati che vuoi condividere. Dopo aver condiviso la risorsa pubblicamente, puoi riattivare il vincolo di condivisione limitata del dominio.

Sink di log BigQuery per un account di fatturazione

L'account di servizio utilizzato dal sink di log di BigQuery per gli account di fatturazione (formato: b*@*.iam.gserviceaccount.com) è considerato come esterno e bloccato dal vincolo di condivisione limitato del dominio in un criterio dell'organizzazione. Per concedere a questo account di servizio un ruolo su un set di dati BigQuery in un progetto a cui è applicato il vincolo di limitazione del dominio:

  1. Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.

    1. Se il vincolo dell'organizzazione viene applicato in un criterio dell'organizzazione sia all'organizzazione che al progetto, imposta il criterio dell'organizzazione contenente il vincolo di limitazione del dominio sul progetto per consentire tutti i valori.

    2. Se questo vincolo viene applicato in un criterio dell'organizzazione nell'organizzazione principale e viene ereditato nel progetto, aggiungi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio al progetto, con tutti i valori consentiti.

  2. Concedi all'account di servizio corrispondente (formato: b*@*.iam.gserviceaccount.com) il ruolo BigQuery indicato durante il processo di creazione di sink.

  3. Inverti le modifiche apportate al criterio dell'organizzazione con il vincolo di limitazione del dominio del progetto.

Account di servizio per l'esportazione della fatturazione Cloud

L'abilitazione dell'esportazione della fatturazione in un bucket con questo vincolo abilitato probabilmente non riuscirà. Non utilizzare questo vincolo sui bucket utilizzati per l'esportazione della fatturazione.

L'indirizzo email dell'account di servizio per l'esportazione della fatturazione Cloud è: 509219875288-kscf0cheafmf4f6tp1auij5me8qakbin@developer.gserviceaccount.com

Abilita i log di accesso allo spazio di archiviazione

Se abilitato, il vincolo di limitazione del dominio bloccherà qualsiasi dominio non specificamente consentito nel criterio dell'organizzazione. In questo modo impedirai l'accesso anche agli account di servizio Google. Per configurare il logging dell'accesso allo spazio di archiviazione su un bucket Cloud Storage a cui è stato applicato il vincolo di limitazione del dominio:

  1. Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.

  2. Concedi cloud-storage-analytics@google.com WRITE l'accesso a quel bucket.

  3. Implementare nuovamente il criterio dell'organizzazione con il vincolo di limitazione del dominio.

Abilita l'API Firebase

Se abilitato, il vincolo di limitazione del dominio bloccherà gli account di servizio non consentiti nel criterio dell'organizzazione. Ciò rende impossibile abilitare l'API Firebase, che richiede account di servizio esterni durante la procedura di abilitazione dell'API. Dopo aver abilitato l'API, puoi applicare in modo sicuro il vincolo di limitazione del dominio senza interferire con la funzione dell'API Firebase. Per abilitare l'API Firebase:

  1. Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.

  2. Abilitare l'API Firebase Management.

  3. Implementare nuovamente il criterio dell'organizzazione con il vincolo di limitazione del dominio.

Gruppi Google

Ai gruppi Google creati all'interno di un dominio consentito possono essere sempre assegnati ruoli nel criterio IAM quando il vincolo di limitazione del dominio viene applicato anche se il gruppo contiene membri esterni al dominio.

Per garantire che gli amministratori dei progetti non possano aggirare il vincolo di limitazione del dominio, l'amministratore di Google Workspace deve garantire che i proprietari dei gruppi non possano consentire i membri esterni al dominio nel riquadro di amministrazione di Google Workspace.

Forzare l'accesso all'account

Se devi forzare l'accesso all'account per un progetto in violazione delle limitazioni del dominio:

  1. Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.

  2. Concedi all'account l'accesso al progetto.

  3. Implementare nuovamente il criterio dell'organizzazione con il vincolo di limitazione del dominio.

In alternativa, puoi concedere l'accesso a un gruppo Google contenente gli account di servizio pertinenti:

  1. Crea un gruppo Google all'interno del dominio consentito.

  2. Utilizza il pannello di amministrazione di Google Workspace per disattivare la limitazione di dominio per quel gruppo.

  3. Aggiungi l'account di servizio al gruppo.

  4. Concedi l'accesso al gruppo Google nel criterio IAM.