יצירת מדיניות גישה בהיקף מוגבל

בדף הזה מוסבר איך ליצור מדיניות גישה בהיקף מוגבל ולהקצות אותה.

לפני שמתחילים

  • מידע על מדיניות בהיקף מוגבל.

  • קראו על הענקת גישה ל-VPC Service Controls.

  • חשוב לוודא שלאדמין עם הרשאות גישה שהוקצו לו, שאליו מוקצית מדיניות הגישה המוגבלת, יש הרשאת cloudasset.assets.searchAllResources בתיקייה או בפרויקט שאליהם משויכת מדיניות הגישה המוגבלת. ההרשאה הזו נדרשת לאדמין עם הרשאות ניהול מוקצות כדי לחפש בכל Google Cloud המשאבים.

  • מידע נוסף על הגדרת גבולות גזרה לשירות

יצירת מדיניות גישה בהיקף מוגבל

יצירת מדיניות גישה בהיקף מוגבל והקצאת הרשאות ניהול לתיקיות ולפרויקטים בארגון. אחרי שיוצרים מדיניות גישה בהיקף מוגבל, אי אפשר לשנות את ההיקף שלה. כדי לשנות את ההיקף של מדיניות קיימת, צריך למחוק את המדיניות וליצור אותה מחדש עם ההיקף החדש.

המסוף

  1. בתפריט הניווט של מסוף Google Cloud , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

    מעבר אל VPC Service Controls

  2. אם מתבקשים, בוחרים את הארגון, התיקייה או הפרויקט.

  3. בדף VPC Service Controls, בוחרים את מדיניות הגישה שהיא מדיניות האב של המדיניות המוגבלת. לדוגמה, אפשר לבחור את default policy מדיניות הארגון.

  4. לוחצים על ניהול מדיניות.

  5. בדף Manage VPC Service Controls (ניהול VPC Service Controls), לוחצים על Create (יצירה).

  6. בדף Create access policy, בתיבה Access policy name, מקלידים שם למדיניות הגישה המוגבלת.

    אורך השם של מדיניות הגישה המוגבלת יכול להיות עד 50 תווים, הוא חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII (a-z, A-Z), מספרים (0-9) או קווים תחתונים (_). השם של מדיניות הגישה המוגבלת הוא תלוי-רישיות וחייב להיות ייחודי במדיניות הגישה של הארגון.

  7. כדי לציין היקף למדיניות הגישה, לוחצים על היקפים.

  8. מציינים פרויקט או תיקייה כהיקף של מדיניות הגישה.

    • כדי לבחור פרויקט שרוצים להוסיף להיקף של מדיניות הגישה:

      1. בחלונית Scopes, לוחצים על Add project.

      2. בתיבת הדו-שיח Add project, מסמנים את התיבה של הפרויקט.

      3. לוחצים על סיום. הפרויקט שנוסף מופיע בקטע Scopes.

    • כדי לבחור תיקייה שרוצים להוסיף להיקף של מדיניות הגישה:

      1. בחלונית Scopes, לוחצים על Add folder.

      2. בתיבת הדו-שיח הוספת תיקיות, מסמנים את התיבה של התיקייה.

      3. לוחצים על סיום. התיקייה שנוספה מופיעה בקטע היקפי הרשאות.

  9. כדי להעניק הרשאות ניהול למדיניות הגישה המוגבלת, לוחצים על חשבונות משתמשים.

  10. כדי לציין את החשבון הראשי ואת התפקיד שרוצים לקשר למדיניות הגישה, מבצעים את הפעולות הבאות:

    1. בחלונית Principals, לוחצים על Add principals.

    2. בתיבת הדו-שיח Add principals, בוחרים חשבון משתמש, כמו שם משתמש או חשבון שירות.

    3. בוחרים את התפקיד שרוצים לשייך לחשבון הראשי, כמו תפקידי עריכה וקריאה.

    4. לוחצים על Save. התפקיד וחשבון המשתמש שנוספו מופיעים בקטע Principals.

  11. בדף Create access policy, לוחצים על Create access policy.

gcloud

כדי ליצור מדיניות גישה בהיקף מוגבל, משתמשים בפקודה gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

כאשר:

  • ORGANIZATION_ID הוא מספר הארגון.

  • POLICY_TITLE הוא שם המדיניות שקריא לבני אדם. אורך השם של המדיניות יכול להיות עד 50 תווים, הוא חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII ‏(a-z,‏ A-Z), מספרים (0-9) או קווים תחתונים (_). השם של המדיניות הוא תלוי-אותיות (case sensitive) וחייב להיות ייחודי בתוך מדיניות הגישה של הארגון.

  • SCOPE היא התיקייה או הפרויקט שבהם המדיניות הזו חלה. אפשר לציין רק תיקייה אחת או פרויקט אחד כהיקף ההרשאות, וההיקף חייב להיות קיים בארגון שצוין. אם לא מציינים היקף, המדיניות חלה על כל הארגון.

הפלט הבא מופיע (כאשר POLICY_NAME הוא מזהה מספרי ייחודי של המדיניות שהוקצה על ידי Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

כדי להאציל ניהול על ידי קישור של חשבון ראשי ותפקיד באמצעות מדיניות גישה בהיקף מוגבל, משתמשים בפקודה add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

כאשר:

  • POLICY הוא המזהה של המדיניות או מזהה מוגדר במלואו של המדיניות.

  • PRINCIPAL הוא החשבון הראשי שרוצים להוסיף לו את הקישור. מציינים את התאריך בפורמט הבא: user|group|serviceAccount:email או domain:domain.

  • ROLE הוא שם התפקיד שרוצים להקצות לחשבון המשתמש. שם התפקיד הוא הנתיב המלא של תפקיד מוגדר מראש, כמו roles/accesscontextmanager.policyEditor, או מזהה התפקיד של תפקיד בהתאמה אישית, כמו organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

כדי ליצור מדיניות גישה בהיקף מוגבל:

  1. יוצרים את גוף הבקשה.

    {
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}

    כאשר:

    • ORGANIZATION_ID הוא מספר הארגון.

    • SCOPE היא התיקייה או הפרויקט שבהם המדיניות הזו חלה.

    • POLICY_TITLE הוא שם המדיניות שקריא לבני אדם. אורך השם של המדיניות יכול להיות עד 50 תווים, הוא חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII ‏(a-z,‏ A-Z), מספרים (0-9) או קווים תחתונים (_). השם של המדיניות הוא תלוי-אותיות (case sensitive) וחייב להיות ייחודי בתוך מדיניות הגישה של הארגון.

  2. יוצרים את מדיניות הגישה על ידי קריאה ל-accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על הפעולה POST.

כדי להעביר את ניהול מדיניות הגישה המוגבלת, צריך לבצע את הפעולות הבאות:

  1. יוצרים את גוף הבקשה.

    {
 "policy": "IAM_POLICY",
}

    כאשר:

    • IAM_POLICY הוא אוסף של קישורים. קישור מגדיר קשר בין משתמש אחד או יותר, או חשבון משתמש אחד או יותר, לתפקיד יחיד. חשבונות משתמשים יכולים להיות חשבונות משתמשים, חשבונות שירות, קבוצות Google ודומיינים. תפקיד הוא רשימה עם שם של הרשאות. כל תפקיד יכול להיות תפקיד מוגדר מראש ב-IAM או תפקיד בהתאמה אישית שנוצר על ידי משתמש.

  2. מעבירים את מדיניות הגישה על ידי קריאה ל-accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה יכיל מופע של policy.

המאמרים הבאים