Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירת מדיניות גישה

בדף הזה מוסבר איך ליצור מדיניות גישה ברמת הארגון עבור הארגון שלכם, ומדיניות בהיקף מוגבל לתיקיות ולפרויקטים בארגון.

לפני שמתחילים

מוודאים שיש לכם את ההרשאות הנכונות לשימוש בכלי Access Context Manager.

יצירת מדיניות גישה ברמת הארגון

בארגון, אי אפשר ליצור מדיניות גישה ברמת הארגון אם קיימת מדיניות גישה ברמת הארגון.

המסוף

כשיוצרים רמת גישה, נוצרת באופן אוטומטי מדיניות גישה שמוגדרת כברירת מחדל. לא נדרשים שלבים ידניים נוספים.

gcloud

כדי ליצור מדיניות גישה ברמת הארגון, משתמשים בפקודה create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

כאשר:

‫ORGANIZATION_ID הוא מספר הארגון.
‫POLICY_TITLE הוא שם המדיניות שקריא לבני אדם.

הפלט אמור להיראות כך (כאשר POLICY_NAME הוא מזהה מספרי ייחודי של המדיניות שהוקצה על ידי Cloud de Confiance by S3NS):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

בשלב הבא, מגדירים את מדיניות ברירת המחדל.

API

כדי ליצור מדיניות גישה ברמת הארגון:

יוצרים את גוף הבקשה.
```
{
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}
```
כאשר:
- ‫ORGANIZATION_ID הוא מספר הארגון.
- ‫POLICY_TITLE הוא שם המדיניות שקריא לבני אדם.
יוצרים את מדיניות הגישה על ידי קריאה ל-accessPolicies.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```
אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על הפעולה POST.

יצירת מדיניות גישה בהיקף מוגבל והקצאת המדיניות

רק VPC Service Controls תומך ביצירת מדיניות גישה בהיקף מוגבל. אתם צריכים להמשיך להשתמש במדיניות ברמת הארגון עבור שירותים כמו שרת Proxy לאימות זהויות (IAP). Cloud de Confiance by S3NS

המסוף

בתפריט הניווט של מסוף Cloud de Confiance , לוחצים על Security (אבטחה) ואז על VPC Service Controls.

מעבר אל VPC Service Controls
אם מתבקשים, בוחרים את הארגון, התיקייה או הפרויקט.
בדף VPC Service Controls, בוחרים את מדיניות הגישה שהיא מדיניות האב של המדיניות המוגבלת. לדוגמה, אפשר לבחור את default policy מדיניות הארגון.
לוחצים על ניהול מדיניות.
בדף Manage VPC Service Controls (ניהול VPC Service Controls), לוחצים על Create (יצירה).
בדף Create access policy, בתיבה Access policy name, מקלידים שם למדיניות הגישה המוגבלת.

השם של מדיניות הגישה המוגבלת יכול לכלול עד 50 תווים, חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII‏ (a-z,‏ A-Z), מספרים (0-9) או קווים תחתונים (_). השם של מדיניות הגישה המוגבלת הוא תלוי-רישיות וחייב להיות ייחודי במדיניות הגישה של הארגון.
כדי לציין היקף למדיניות הגישה, לוחצים על היקפים.
מציינים פרויקט או תיקייה כהיקף של מדיניות הגישה.
- כדי לבחור פרויקט שרוצים להוסיף להיקף של מדיניות הגישה:
  1. בחלונית Scopes, לוחצים על Add project.
  2. בתיבת הדו-שיח הוספת פרויקט, מסמנים את תיבת הסימון של הפרויקט.
  3. לוחצים על סיום. הפרויקט שנוסף מופיע בקטע Scopes.
- כדי לבחור תיקייה שרוצים להוסיף להיקף של מדיניות הגישה: פועלים לפי השלבים הבאים:
  1. בחלונית Scopes, לוחצים על Add folder.
  2. בתיבת הדו-שיח הוספת תיקיות, מסמנים את התיבה של התיקייה.
  3. לוחצים על סיום. התיקייה שנוספה מופיעה בקטע היקפים.
כדי להעניק הרשאות ניהול למדיניות גישה בהיקף מוגבל, לוחצים על חשבונות משתמשים.
כדי לציין את החשבון הראשי ואת התפקיד שרוצים לקשר למדיניות הגישה, מבצעים את הפעולות הבאות:
1. בחלונית Principals, לוחצים על Add principals.
2. בתיבת הדו-שיח Add principals, בוחרים חשבון משתמש, כמו שם משתמש או חשבון שירות.
3. בוחרים את התפקיד שרוצים לשייך לחשבון הראשי, כמו תפקידי עריכה וקריאה.
4. לוחצים על Save. החשבון הראשי והתפקיד שנוספו מופיעים בקטע Principals.
בדף Create access policy, לוחצים על Create access policy.

gcloud

כדי ליצור מדיניות גישה בהיקף מוגבל, משתמשים בפקודה gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

כאשר:

‫ORGANIZATION_ID הוא מספר הארגון.
‫POLICY_TITLE הוא שם המדיניות שקריא לבני אדם. אורך השם של המדיניות יכול להיות עד 50 תווים, הוא חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII‏ (a-z,‏ A-Z), מספרים (0-9) או קווים תחתונים (_). השם של המדיניות הוא תלוי-אותיות (case sensitive) וחייב להיות ייחודי במדיניות הגישה של הארגון.
‫SCOPE היא התיקייה או הפרויקט שהמדיניות הזו חלה עליהם. אפשר לציין רק תיקייה אחת או פרויקט אחד כהיקף ההרשאות, וההיקף חייב להיות קיים בארגון שצוין. אם לא מציינים היקף, המדיניות חלה על כל הארגון.

הפלט הבא מופיע (כאשר POLICY_NAME הוא מזהה מספרי ייחודי של המדיניות שהוקצה על ידי Cloud de Confiance by S3NS):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

כדי להאציל ניהול באמצעות קישור של חשבון ראשי ותפקיד עם מדיניות גישה בהיקף מוגבל, משתמשים בפקודה add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

כאשר:

‫POLICY הוא המזהה של המדיניות או מזהה מוגדר במלואו של המדיניות.
‫PRINCIPAL הוא החשבון הראשי שרוצים להוסיף לו את הקישור. מציינים בפורמט הבא: user|group|serviceAccount:email או domain:domain.
‫ROLE הוא שם התפקיד שרוצים להקצות לחשבון המשתמש. שם התפקיד הוא הנתיב המלא של תפקיד מוגדר מראש, כמו roles/accesscontextmanager.policyReader, או מזהה התפקיד של תפקיד בהתאמה אישית, כמו organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

כדי ליצור מדיניות גישה בהיקף מוגבל:

יוצרים את גוף הבקשה.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE",
 "title": "POLICY_TITLE"
}
```
כאשר:
- ‫ORGANIZATION_ID הוא מספר הארגון.
- ‫SCOPE היא התיקייה או הפרויקט שהמדיניות הזו חלה עליהם.
- ‫POLICY_TITLE הוא שם המדיניות שקריא לבני אדם. אורך השם של המדיניות יכול להיות עד 50 תווים, הוא חייב להתחיל באות ויכול להכיל רק אותיות לטיניות ב-ASCII‏ (a-z,‏ A-Z), מספרים (0-9) או קווים תחתונים (_). השם של המדיניות הוא תלוי-אותיות (case sensitive) וחייב להיות ייחודי במדיניות הגישה של הארגון.
יוצרים את מדיניות הגישה על ידי קריאה ל-accessPolicies.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```
אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על הפעולה POST.

כדי להעביר את ניהול מדיניות הגישה המוגבלת:

יוצרים את גוף הבקשה.
```
{
 "policy": "IAM_POLICY",
}
```
כאשר:
- ‫IAM_POLICY הוא אוסף של קישורים. קישור מגדיר קשר בין משתמש אחד או יותר, או חשבונות משתמשים, לתפקיד יחיד. חשבונות ראשיים יכולים להיות חשבונות משתמשים, חשבונות שירות, קבוצות Google ודומיינים. תפקיד הוא רשימה עם שם של הרשאות. כל תפקיד יכול להיות תפקיד מוגדר מראש ב-IAM או תפקיד בהתאמה אישית שנוצר על ידי משתמש.
יוצרים את מדיניות הגישה על ידי קריאה ל-accessPolicies.setIamPolicy.

כשהפעולה מסתיימת, גוף התגובה מכיל את accessPolicy. השדה name מכיל את שם המשאב: accessPolicy/POLICY_ID
1. כדי להגדיר את מדיניות ה-IAM, משתמשים בנקודת הקצה הבאה:
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_ID:setIamPolicy
```
מחליפים את POLICY_ID במזהה המדיניות שהוחזר מ-accessPolicies.create.

גוף הבקשה צריך לכלול את מדיניות IAM שרוצים להגדיר.

אם הפעולה בוצעה ללא שגיאות, גוף התגובה יכיל מופע של policy.

המאמרים הבאים

ניהול מדיניות גישה