本頁說明如何為機構建立機構層級存取權政策,以及為機構中的資料夾和專案建立範圍政策。
事前準備
- 確認您具備使用 Access Context Manager 的適當權限。
建立組織層級存取權政策
如果機構已有組織層級存取權政策,您就無法為該機構建立這類政策。
控制台
您在建立存取層級時,系統會自動建立預設的存取權政策。您不需要進行額外的手動設定。
gcloud
如要建立組織層級存取權政策,請使用 create 指令。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
POLICY_TITLE 是指政策的可理解文字標題。
畫面會顯示類似以下的輸出內容 (其中 POLICY_NAME 是 Cloud de Confiance by S3NS指派給政策的專屬數字 ID):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
接著設定預設政策。
API
如要建立組織層級存取權政策,請按照下列步驟操作:
建立要求主體。
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
POLICY_TITLE 是指政策的可理解文字標題。
呼叫
accessPolicies.create來建立存取權政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
回應主體
如果成功,呼叫的回應主體會包含 Operation 資源,其中提供有關 POST 作業的詳細資料。
建立範圍存取政策並委派政策
只有 VPC Service Controls 支援建立範圍存取政策。 您必須繼續使用機構層級的政策,才能使用 Identity-Aware Proxy (IAP) 等服務。 Cloud de Confiance by S3NS
控制台
在 Cloud de Confiance 控制台導覽選單中,依序點按「Security」(安全性) 和「VPC Service Controls」。
系統顯示提示時,請選取組織、資料夾或專案。
在「VPC Service Controls」頁面中,選取範圍政策的上層存取權政策。例如,您可以選取
default policy組織政策。點按「Manage policies」(管理政策)。
在「Manage VPC Service Controls」(管理 VPC Service Controls) 頁面上,點按「Create」(建立)。
在「Create access policy」(建立存取權政策) 頁面的「Access policy name」(存取權政策名稱) 方塊中,輸入範圍存取權政策的名稱。
範圍存取權政策名稱的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。範圍存取權政策名稱有大小寫之分,而且整個組織的存取權政策不得使用重複名稱。如要指定存取權政策的範圍,請點按「Scopes」(範圍)。
指定專案或資料夾做為存取權政策的範圍。
如要選取想新增至存取權政策範圍的專案,請按照下列步驟操作:
在「Scopes」(範圍) 窗格中,點按「Add project」(新增專案)。
在「Add project」(新增專案) 對話方塊中,勾選該專案的核取方塊。
點按「Done」(完成)。新增的專案會顯示在「Scopes」(範圍) 部分。
如要選取想新增至存取權政策範圍的資料夾,請按照下列步驟操作:
在「Scopes」(範圍) 窗格中,點按「Add folder」(新增資料夾)。
在「Add folder」(新增資料夾) 對話方塊中,選取該資料夾的核取方塊。
點按「Done」(完成)。新增的資料夾會顯示在「Scopes」(範圍) 部分。
如要委派範圍存取權政策的管理權,請點按「Principals」(主體)。
如要指定主體和要繫結至存取權政策的角色,請按照下列步驟操作:
在「Principals」(主體) 窗格中,點按「Add principals」(新增主體)。
在「Add principals」(新增主體) 對話方塊中選取主體,例如使用者名稱或服務帳戶。
選取要與主體建立關聯的角色,例如編輯者和讀取角色。
點按「Save」(儲存)。新增的主體和角色會顯示在「Principals」(主體) 部分。
在「Create access policy」(建立存取權政策) 頁面中,點按「Create access policy」(建立存取權政策)。
gcloud
使用 gcloud access-context-manager policies create 指令即可建立範圍存取權政策。
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
POLICY_TITLE 是指政策的人類可讀標題。政策標題的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。政策標題有大小寫之分,而且整個組織的存取權政策不得使用重複標題。SCOPE 是適用這項政策的資料夾或專案。您只能指定一個資料夾或專案做為範圍,且該範圍必須存在於指定的組織內。如未指定範圍,這項政策會套用至整個組織。
畫面會顯示以下輸出內容 (其中 POLICY_NAME 是 Cloud de Confiance by S3NS指派給政策的專屬數字 ID):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
如要繫結主體和角色與範圍存取權政策,藉此委派管理權,請使用 add-iam-policy-binding 指令。
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
其中:
POLICY 是政策的 ID 或完整 ID。
PRINCIPAL 是您要新增繫結的主體。請用下列格式指定:
user|group|serviceAccount:email或domain:domain。ROLE 是要指派給主體的角色名稱。角色名稱是預先定義的角色完整路徑 (例如
roles/accesscontextmanager.policyReader),或是自訂角色的角色 ID (例如organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader)。
API
按照下列步驟操作即可建立範圍存取權政策:
建立要求主體。
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
其中:
ORGANIZATION_ID 是貴組織的數字 ID。
SCOPE 是適用這項政策的資料夾或專案。
POLICY_TITLE 是指政策的人類可讀標題。政策標題的長度上限為 50 個字元,開頭必須是英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (
_)。政策標題有大小寫之分,而且整個組織的存取權政策不得使用重複標題。
呼叫
accessPolicies.create來建立存取權政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
回應主體
如果成功,呼叫的回應主體會包含 Operation 資源,其中提供有關 POST 作業的詳細資料。
如要委派範圍存取權政策的管理權,請按照下列步驟操作:
建立要求主體。
{ "policy": "IAM_POLICY", }
其中:
- IAM_POLICY 是一組繫結。繫結可將一或多個成員或主體與單一角色連結。主體可以是使用者帳戶、服務帳戶、Google 群組和網域。角色是具名權限清單,每個角色可以是 IAM 預先定義的角色,也可以是使用者建立的自訂角色。
呼叫
accessPolicies.setIamPolicy來建立存取權政策。POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
回應主體
如果成功,回應主體會包含 policy 的執行個體。