Resource Manager fornisce un vincolo di limitazione del dominio che può essere utilizzato nei criteri dell'organizzazione per limitare la condivisione delle risorse in base al dominio o alla risorsa dell'organizzazione. Questo vincolo consente di limitare l'insieme di identità che possono essere utilizzate nei criteri di Identity and Access Management.
I criteri dell'organizzazione possono utilizzare questo vincolo per limitare la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. In alternativa, puoi specificare un insieme di uno o più domini e puoi concedere eccezioni a livello di cartella o di progetto. Per ulteriori informazioni sull'aggiunta di eccezioni, consulta Ignorare il criterio dell'organizzazione per un progetto.
Il vincolo di limitazione del dominio non è retroattivo. Una volta impostata una limitazione di dominio, questa limitazione si applica alle modifiche ai criteri IAM apportate da quel momento in poi e non alle modifiche precedenti. Il vincolo di limitazione del dominio verrà applicato a tutte le modifiche ai criteri IAM, incluse quelle apportate da un agente di servizio in risposta a un'altra azione. Ad esempio, se disponi di un servizio automatizzato che importa set di dati BigQuery, un agente di servizio BigQuery apporterà modifiche ai criteri IAM sul set di dati appena creato. Questa azione verrebbe limitata dal vincolo della limitazione del dominio e bloccata.
Ad esempio, considera due organizzazioni correlate: examplepetstore.com e altostrat.com. Hai concesso a un'identità examplepetstore.com un ruolo IAM in altostrat.com. In seguito, hai deciso di limitare le identità in base al dominio e implementato un criterio dell'organizzazione con il vincolo di limitazione del dominio in altostrat.com. In questo caso, le identità di esempionegozioanimali.com esistenti non hanno perso l'accesso in altostrat.com, solo i ruoli IAM di questo punto.
Il vincolo della limitazione del dominio si basa sul vincolo dell'elenco iam.allowedPolicyMemberDomains.
Quando questo vincolo è impostato su una risorsa dell'organizzazione Google Cloud, influisce su tutte le identità padre di tale risorsa dell'organizzazione. Quando questo vincolo è impostato su un dominio Google Workspace, influisce su tutte le identità che si trovano in quel dominio. Sono inclusi gli account utente gestiti nella console Google Workspace e non dall'interno della console Google Cloud.
Impostazione del criterio dell'organizzazione
Il vincolo di limitazione di dominio è un tipo di vincolo dell'elenco.
È possibile aggiungere e rimuovere gli ID cliente di Google Workspace e gli ID risorsa dell'organizzazione Google Cloud dall'elenco allowed_values di un vincolo di limitazione di dominio. Il vincolo di limitazione del dominio non supporta i valori di negazione e un criterio dell'organizzazione non può essere salvato con ID nell'elenco denied_values.
Tutti i domini associati a un account Google Workspace o a una risorsa dell'organizzazione
elencati nell'allowed_values saranno consentiti dal criterio dell'organizzazione. Tutti gli altri domini saranno rifiutati dal criterio dell'organizzazione.
Puoi rendere condizionale un criterio dell'organizzazione per applicare il vincolo di limitazione di dominio a qualsiasi risorsa inclusa nell'elenco delle risorse supportate. Ad esempio, bucket Cloud Storage, set di dati BigQuery o VM di Compute Engine.
Devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione per impostare questo vincolo. Ad esempio, il ruolo orgpolicy.policyAdmin ha l'autorizzazione per impostare vincoli dei criteri dell'organizzazione. Il ruolo resourcemanager.organizationAdmin ha l'autorizzazione per aggiungere un utente come amministratore dei criteri dell'organizzazione.
Per saperne di più sulla gestione dei criteri a livello di organizzazione, consulta la pagina Utilizzo dei vincoli.
Console
Per impostare un criterio dell'organizzazione che includa un vincolo di limitazione del dominio:
Apri la pagina Criteri dell'organizzazione nella console Google Cloud.
Seleziona il selettore di progetti nella parte superiore della pagina.
Dal selettore progetti, seleziona la risorsa dell'organizzazione per la quale vuoi impostare il criterio.
Nella pagina Criteri dell'organizzazione, seleziona Condivisione limitata per il dominio dall'elenco dei vincoli.
Nella pagina Dettagli norme, fai clic su Gestisci norma.
Nella sezione Applicabile a, seleziona Personalizza.
Fai clic su Aggiungi una regola.
In Valori criterio, seleziona custom. Nota: il vincolo di limitazione di dominio non supporta Rifiuta tutto.
In Tipo di criterio, seleziona Consenti. Nota: il vincolo di limitazione di dominio non supporta i valori Rifiuta.
In Valori personalizzati, inserisci un ID risorsa organizzazione o un ID cliente Google Workspace nella casella di testo.
Se vuoi aggiungere più ID, fai clic su Nuovo valore della norma per creare una casella di testo aggiuntiva.
Fai clic su Fine.
Facoltativamente, per rendere condizionale il vincolo di limitazione di dominio per un tag, fai clic su Aggiungi condizione.
Nel campo Titolo, inserisci un nome per la condizione.
Nel campo Descrizione, assegna una descrizione alla condizione. La descrizione fornisce contesto sui tag obbligatori e sul loro impatto sulle risorse.
Puoi utilizzare il Generatore di condizioni per creare una condizione che richiede un determinato tag affinché il vincolo abbia effetto.
Nel menu a discesa Tipo di condizione nella scheda Generatore di condizioni, seleziona Tag.
Seleziona l'operatore per la condizione. Per associare un intero tag, utilizza l'operatore matches. Per associare una chiave tag e un valore tag, utilizza l'operatore corrisponde a ID.
Se hai selezionato l'operatore matches, inserisci il nome del tag con spazio dei nomi. Se hai selezionato l'operatore corrisponde all'ID, inserisci gli ID chiave e valore.
Puoi creare più condizioni facendo clic su Aggiungi. Se aggiungi un'altra condizione, puoi impostare la logica condizionale in modo che le richieda tutte attivando/disattivando E. Puoi impostare la logica condizionale in modo che richieda solo una delle condizioni su true attivando/disattivando Or.
Puoi eliminare un'espressione facendo clic sulla grande X a destra dei campi della condizione.
Dopo aver modificato le condizioni, fai clic su Salva.
Fai clic su Salva. Viene visualizzata una notifica per confermare che il criterio è stato aggiornato.
gcloud
I criteri possono essere impostati tramite Google Cloud CLI. Per creare un criterio che includa il vincolo di limitazione di dominio, esegui questo comando:
Per impostare un criterio dell'organizzazione che includa il vincolo di limitazione del dominio, esegui questo comando:
gcloud org-policies set-policy POLICY_PATH
Dove POLICY_PATH è il percorso completo del file YAML dei criteri dell'organizzazione, che dovrebbe avere il seguente aspetto:
name: organizations/ORGANIZATION_ID/policies/iam.allowedPolicyMemberDomains
spec:
rules:
- condition: // This condition applies to the values block.
expression: "resource.matchTag('ORGANIZATION_ID/environment', 'dev')"
values:
allowedValues:
- PRINCIPAL_SET
- values:
allowedValues:
- PRINCIPAL_SET
Sostituisci quanto segue:
- ORGANIZATION_ID con l'ID della risorsa dell'organizzazione su cui impostare questo criterio.
PRINCIPAL_SET per gli identificatori entità di Cloud Identity che vuoi consentire, incluso l'ID risorsa dell'organizzazione. Ad esempio,
is:principalSet://iam.googleapis.com/organizations/01234567890123.Gli ID cliente Google Workspace devono essere utilizzati per tutte le altre identità che vuoi consentire. Ad esempio,
is:C03g5e3bc.
Solo le identità appartenenti all'ID risorsa dell'organizzazione o al dominio Google Workspace nell'elenco di allowed_values saranno consentite nei criteri IAM una volta applicato questo criterio dell'organizzazione.
Gli utenti e i gruppi umani di Google Workspace devono essere elementi secondari della risorsa dell'organizzazione o di una parte di quel dominio Google Workspace, mentre gli account di servizio IAM devono essere secondari di una risorsa dell'organizzazione associata al dominio Google Workspace specificato.
Ad esempio, se hai creato un criterio dell'organizzazione solo con l'ID cliente di Google Workspace della tua azienda, solo le entità di quel dominio potrebbero essere aggiunte al criterio IAM da quel momento in poi.
Per saperne di più sull'utilizzo dei vincoli nei criteri dell'organizzazione, consulta Utilizzo dei vincoli.
Esempio di messaggio di errore
Quando il vincolo dell'organizzazione relativo alla limitazione del dominio viene violato tramite il tentativo di aggiungere un'entità non inclusa nell'elenco allowed_values, l'operazione non andrà a buon fine e verrà visualizzato un messaggio di errore.
Console
gcloud
ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION: One or more users named in the policy do not belong to a permitted customer.
Recupero di un ID risorsa dell'organizzazione
Puoi ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, l'interfaccia alla gcloud CLI o l'API Resource Manager.
console
Per ottenere l'ID risorsa della tua organizzazione utilizzando la console Google Cloud, segui questi passaggi:
- Vai alla console Google Cloud:
- Dal selettore dei progetti nella parte superiore della pagina, seleziona la risorsa dell'organizzazione.
- A destra, fai clic su Altro, quindi su Impostazioni.
Nella pagina Impostazioni viene visualizzato l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e gli ID risorsa dell'organizzazione corrispondenti.
API
Per trovare l'ID risorsa della tua organizzazione utilizzando l'API Resource Manager, utilizza il metodo organizations.search(), che include una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione che appartiene a altostrat.com, che include l'ID risorsa dell'organizzazione.
Dopo aver ottenuto l'ID risorsa dell'organizzazione, devi utilizzare l'identificatore corretto per l'insieme di entità che le appartengono. Ad esempio:
principalSet://iam.googleapis.com/organizations/01234567890123
Per ulteriori informazioni sugli identificatori entità IAM, consulta Identificatori principali.
Recupero di un ID cliente Google Workspace
L'ID cliente Google Workspace utilizzato dal vincolo di limitazione del dominio può essere ottenuto in due modi:
gcloud
Il comando gcloud organization list può essere utilizzato per visualizzare tutte le organizzazioni per le quali disponi dell'autorizzazione resourcemanager.organizations.get:
gcloud organizations list
Questo comando restituirà i valori DISPLAY_NAME, ID (ID organizzazione) e DIRECTORY_CUSTOMER_ID. L'ID cliente Google Workspace è
DIRECTORY_CUSTOMER_ID.
API
L'API Google Workspace Directory può essere utilizzata per recuperare un ID cliente Google Workspace.
Dopo aver eseguito l'accesso come amministratore di Google Workspace, puoi consultare la documentazione sul metodo API Customers: get e fare clic su Esegui. Dopo l'autorizzazione, la risposta riporterà il tuo ID cliente.
In alternativa, puoi utilizzare un client API:
- Ottieni un token di accesso OAuth per l'ambito
https://www.googleapis.com/auth/admin.directory.customer.readonly. Esegui questo comando per eseguire una query sull'API Google Workspace Directory:
curl -# -X GET "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \ -H "Authorization: Bearer $access_token" -H "Content-Type: application/json"
Questo comando restituirà una risposta JSON con le informazioni del cliente. L'ID cliente Google Workspace è id.
Limitazione dei sottodomini
Se consenti una risorsa dell'organizzazione Google Cloud in un vincolo di limitazione del dominio, consenti l'accesso a tutte le risorse associate alla risorsa dell'organizzazione e blocca l'accesso a tutte le altre.
Se consenti un ID cliente Google Workspace in un vincolo di limitazione del dominio, l'accesso verrà limitato a tutti i domini associati a quell'ID cliente Google Workspace e l'accesso verrà bloccato a tutti gli altri. Ogni account Google Workspace ha esattamente un dominio principale e zero o più domini secondari. Tutti i domini associati all'ID cliente Google Workspace saranno soggetti al vincolo.
L'applicazione del vincolo di limitazione del dominio su una risorsa controlla il dominio principale e tutti i domini secondari che possono accedere alla risorsa e ai relativi discendenti nella gerarchia delle risorse.
Per esempi di combinazioni comuni di dominio e sottodominio di Google Workspace, vedi la tabella seguente:
| Dominio principale | Sottodominio | Vincolo di limitazione del dominio | user@sub.altostrat.com è consentito? |
|---|---|---|---|
| altostrat.com | nessuno | Consenti: altostrat.com | No |
| altostrat.com | sub.altostrat.com | Consenti: altostrat.com | Sì |
| altostrat.com | sub.altostrat.com | Consenti: sub.altostrat.com | Sì |
| sub.altostrat.com | altostrat.com | Consenti: sub.altostrat.com | Sì |
| sub.altostrat.com | nessuno | Consenti: sub.altostrat.com | Sì |
Per differenziare l'accesso da vincolo di limitazione del dominio tra due domini, ogni dominio deve essere associato a un account Google Workspace diverso. Ogni account Google Workspace è associato a un nodo organizzazione e può avere i propri criteri dell'organizzazione applicati. In questo modo puoi associare altostrat.com a un account Google Workspace e sub.altostrat.com a un altro per controllo dell'accesso più granulare. Per ulteriori informazioni, consulta Gestione di più organizzazioni.
Risoluzione dei problemi noti
I criteri dell'organizzazione non sono retroattivi. Se devi forzare una modifica alla gerarchia delle risorse che violerebbe un vincolo applicato, puoi disabilitare il criterio dell'organizzazione, apportare la modifica e poi riattivare il criterio dell'organizzazione.
Le seguenti sezioni descrivono i problemi noti relativi ai servizi che possono verificarsi quando viene applicato questo vincolo.
Collegamento di Google Analytics 360 a BigQuery
Se tenti di collegare Google Analytics 360 a BigQuery
in cui è applicato il vincolo di limitazione del dominio, l'azione non va a buon fine e
viene visualizzato il messaggio di errore One or more users named in the policy do not belong to a permitted
customer, anche se l'account di servizio
analytics-processing-dev@system.gserviceaccount.com è
già aggiunto come Editor a livello di progetto,
direttamente o utilizzando Google Gruppi.
Per collegare Google Analytics 360 a BigQuery:
Disattiva il criterio dell'organizzazione contenente il vincolo di limitazione di dominio.
Esegui la procedura di collegamento in Google Analytics 360.
Applica di nuovo il vincolo di limitazione di dominio.
Condivisione dei dati pubblici
Alcuni prodotti Google Cloud, come BigQuery, Cloud Functions, Cloud Run, Cloud Storage e Pub/Sub, supportano la condivisione dei dati pubblici. L'applicazione del vincolo di condivisione limitata per i domini in un criterio dell'organizzazione impedirà la condivisione dei dati pubblici.
Per condividere pubblicamente i dati, disabilita temporaneamente il vincolo di condivisione limitata al dominio per la risorsa del progetto in cui si trovano i dati che vuoi condividere. Dopo aver condiviso pubblicamente la risorsa, puoi riabilitare il vincolo di condivisione limitata per i domini.
Sink di log BigQuery per un account di fatturazione
L'account di servizio utilizzato dal sink di log BigQuery per gli account di fatturazione (formato: b*@*.iam.gserviceaccount.com) viene considerato come esterno e bloccato dal vincolo di condivisione limitata per i domini in un criterio dell'organizzazione.
Per concedere a questo account di servizio un ruolo su un set di dati BigQuery in un progetto a cui è applicato il vincolo di limitazione del dominio:
Disattiva il criterio dell'organizzazione contenente il vincolo di limitazione di dominio.
Concedi all'account di servizio corrispondente (formato:
b*@*.iam.gserviceaccount.com) il ruolo BigQuery indicato durante il processo di creazione del sink.Applica di nuovo il vincolo di limitazione di dominio.
Account di servizio di esportazione della fatturazione Cloud
L'abilitazione dell'esportazione della fatturazione in un bucket con questo vincolo abilitato probabilmente non andrà a buon fine. Non utilizzare questo vincolo sui bucket utilizzati per l'esportazione della fatturazione.
L'indirizzo email dell'account di servizio per l'esportazione della fatturazione Cloud è:
509219875288-kscf0cheafmf4f6tp1auij5me8qakbin@developer.gserviceaccount.com
Abilita il logging degli accessi allo spazio di archiviazione
Se abilitato, il vincolo di limitazione del dominio bloccherà tutti i domini non specificamente consentiti dal criterio dell'organizzazione. In questo modo impedirai anche la concessione dell'accesso agli account di servizio Google. Per configurare il logging dell'accesso allo spazio di archiviazione su un bucket Cloud Storage in cui è applicato il vincolo di limitazione del dominio, segui questi passaggi:
Disattiva il criterio dell'organizzazione contenente il vincolo di limitazione di dominio.
Concedi a
cloud-storage-analytics@google.comWRITEl'accesso al bucket.Applica di nuovo il vincolo di limitazione di dominio.
Abilita API Firebase
Se abilitato, il vincolo della limitazione del dominio bloccherà gli account di servizio non consentiti nel criterio dell'organizzazione. Ciò rende impossibile abilitare l'API Firebase, che richiede account di servizio esterni durante il processo di abilitazione dell'API. Una volta abilitata l'API, puoi applicare in modo sicuro il vincolo di limitazione del dominio senza interferire con la funzione dell'API Firebase. Per abilitare l'API Firebase:
Disattiva il criterio dell'organizzazione contenente il vincolo di limitazione di dominio.
Abilitare l'API Firebase Management.
Applica di nuovo il vincolo di limitazione di dominio.
Gruppi Google
È sempre possibile concedere ruoli ai gruppi Google creati all'interno di un dominio consentito nel criterio IAM quando viene applicato il vincolo di limitazione del dominio, anche se il gruppo contiene membri esterni a quel dominio.
Per garantire che gli amministratori del progetto non possano aggirare il vincolo di limitazione di dominio, l'amministratore di Google Workspace deve assicurarsi che i proprietari dei gruppi non possano consentire membri esterni al dominio nel riquadro dell'amministratore di Google Workspace.
Forzare l'accesso all'account
Se devi forzare l'accesso all'account per un progetto che viola le restrizioni di dominio:
Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.
Concedi l'accesso al progetto all'account.
Implementa di nuovo il criterio dell'organizzazione con il vincolo di limitazione del dominio.
In alternativa, puoi concedere l'accesso a un gruppo Google contenente gli account di servizio pertinenti:
Crea un gruppo Google all'interno del dominio consentito.
Utilizza il pannello dell'amministratore di Google Workspace per disattivare la limitazione di dominio per quel gruppo.
Aggiungi l'account di servizio al gruppo.
Concedi l'accesso al gruppo Google nel criterio IAM.
Utilizzare Pub/Sub come endpoint per un'app Google Chat.
Quando tenti di concedere i diritti di pubblicazione sul tuo argomento all'account di servizio dell'API Google Chat, potresti essere bloccato se è abilitato il vincolo di Condivisione domini limitata. Segui la procedura per forzare l'accesso all'account.