מדיניות בהיקף מוגבל היא מדיניות גישה שמוגבלת לתיקיות או לפרויקטים ספציפיים, בנוסף למדיניות גישה שאפשר להחיל על הארגון כולו. אתם יכולים להשתמש במדיניות מוגבלת כדי להאציל את ניהול האזורים של VPC Service Controls ורמות הגישה לאדמינים ברמת התיקייה וברמת הפרויקט.
בארגונים יכולה להיות רק מדיניות גישה אחת ברמת הארגון, ואפשר להחיל את מדיניות הגישה ברמת הארגון על כל תיקייה או פרויקט בארגון.
יכול להיות שתרצו להאציל את הניהול של מדיניות עבור קבוצת משנה של משאבים בארגון, כמו תיקייה, לאדמין עם הרשאות ניהול שהוקצו לו. אתם יכולים ליצור מדיניות גישה שמוגבלת לתיקיות או לפרויקטים ספציפיים, לצד מדיניות גישה שיכולה לחול על כל הארגון. כדי להעניק למנהלים ברמת התיקייה וברמת הפרויקט הרשאות ניהול של אזורים ורמות גישה ב-VPC Service Controls, אפשר להשתמש במדיניות מוגבלת להיקף.
כשמייפים ניהול של מדיניות בהיקף מוגבל, האדמינים שמקבלים את ההרשאה יכולים לשנות או לקרוא את המדיניות הספציפית הזו, ולא את המדיניות של Access Context Manager בארגון. מדיניות עם היקף מוגבל מגבילה את המשאבים שאפשר להגביל באזור של VPC Service Controls, ואת החשיפה של רמות גישה.
ניהול מדיניות בהיקף מוגבל
אדמינים ב-Access Context Manager ברמת הארגון יכולים ליצור, לשנות ולמחוק מדיניות בהיקף מוגבל. אתם יכולים לציין ישירות את ההרשאות של ניהול הזהויות והרשאות הגישה (IAM) במדיניות של Access Context Manager, ולאפשר למשתמשים אחרים בארגון להעביר הלאה את ניהול המדיניות של Access Context Manager. אדמין עם הרשאה מוגבלת יכול להגדיר אזורים של שירות ורמות גישה במדיניות. עם זאת, אדמין של מדיניות בהיקף מוגבל לא יכול ליצור מדיניות חדשה או לשנות את היקף המדיניות כדי שתחול על תיקייה או פרויקט אחרים.
כך מנהלי מערכת מנהלים את המדיניות המוגבלת:
האדמין ברמת הארגון יוצר מדיניות גישה חדשה עם שדה היקף שמפנה לתיקייה או לפרויקט ספציפיים.
האדמין ברמת הארגון מקצה הרשאות IAM לאדמין המורשה ישירות במשאב של מדיניות הגישה. לאדמין עם הרשאות ניהול מוגבלות יש עכשיו הרשאות במדיניות המוגבלת, אבל אין לו הרשאות במדיניות אחרת, אלא אם האדמין ברמת הארגון מקצה לו אותן באופן מפורש.
עכשיו האדמין עם ההרשאות המוגבלות יכול לערוך את המדיניות כדי להגדיר רמות גישה ואזורי שירות. האדמין המורשה יכול גם להעניק הרשאות IAM במדיניות הזו לכל משתמש אחר.
כשמוחקים תיקייה או פרויקט, נמחקת גם המדיניות שהתיקייה או הפרויקט שנמחקו מוגדרים כהיקף שלה. בנוסף, אם מעבירים פרויקט לצומת אחר בהיררכיית הארגון, המדיניות שמוגדרת לפרויקט לא משתנה באופן אוטומטי. צריך למחוק את המדיניות שמשויכת לפרויקט, ואז ליצור מחדש את המדיניות ולציין את ההיקף.
היררכיה של מדיניות בהיקף מוגבל
משאב הארגון הוא הצומת הבסיסי (root) בהיררכיית המשאבים ב- Cloud de Confiance by S3NS , וכל המשאבים ששייכים לארגון הם צאצאים של הצומת של הארגון. תיקיות הן מנגנון לקיבוץ פרויקטים. תיקיות ופרויקטים קיימים כצמתי צאצא של משאב הארגון.
בתרשים הבא מוצג ארגון לדוגמה שמכיל תיקיות לכל מחלקה, והתיקיות מכילות פרויקטים של פיתוח, בדיקה וייצור.
בדוגמה של הארגון, ההגבלות הבאות חלות על גבולות גזרה לשירות או על רמת גישה במדיניות עם היקף:
גבולות גזרה לשירות במדיניות מוגבלת להיקף יכולים להגביל רק משאבים שקיימים בהיקף של המדיניות הזו. לדוגמה, גבולות גזרה לשירות במדיניות שמוגבלת לתיקיית ההנדסה יכולים לאבטח את הפרויקטים example-dev, example-prod ו-example-test, כי הפרויקטים נמצאים בתיקיית ההנדסה.
אם המדיניות המוגבלת חלה על תיקיית המכירות, אז גבולות הגזרה לשירות במדיניות הזו לא יכולים להגן על אף אחד מהפרויקטים example-dev, example-prod ו-example-test. עם זאת, גבולות הגזרה לשירות במדיניות המוגבלת יכולים לאפשר גישה לפרויקטים בתיקיות אחרות באמצעות כללים לתעבורת נתונים נכנסת ויוצאת.
רמות הגישה במדיניות מוגבלת להיקף מסוים גלויות רק במסגרת ההיקף של המדיניות. אם יוצרים רמת גישה במדיניות שמוגבלת לתיקיית ההנדסה, רק אזורים של שירותים ורמות גישה בתיקיית ההנדסה יכולים להשתמש בה. אי אפשר להשתמש ברמת הגישה שמוגדרת בתיקיית ההנדסה בהיקפי שירות וברמות גישה בתיקיות אחרות.
למיקום, כמו תיקייה, בהיררכיית המשאבים של הארגון example.com יכולות להיות כמה מדיניות שמכילות רמת גישה או גבולות גזרה לשירות. אם קיימות כמה מדיניות, בקשה למשאבים בארגון example.com נבדקת על סמך הכללים הבאים:
מדיניות יכולה לכלול רק היקף אחד, כמו תיקייה, אבל אפשר ליצור מדיניות לכל רמה בארגון. לדוגמה, אם ההיקף של מדיניות 1 הוא תיקיית ההנדסה, אי אפשר להגדיר את תיקיית ההנדסה כהיקף של מדיניות אחרת. אפשר להגדיר מדיניות נוספת עם היקף שמוגדר כצאצא של תיקיית ההנדסה, כמו example-prod.
אם ההיקף של מדיניות חל על פרויקט או על פרויקט אב של הפרויקט, אפשר להוסיף את הפרויקט למדיניות. עם זאת, פרויקט יכול להיות חבר רק בגבולות גזרה לשירות אחד בכל המדיניות. לדוגמה, מדיניות עם היקף שמוגדר לארגון example.com יכולה להגדיר גבולות גזרה לשירות עם example-dev. מדיניות עם היקף שמוגדר לתיקיית engineering או היקף שמוגדר לפרויקט example-dev יכולה גם להוסיף את הפרויקט example-dev לגבולות גזרה שהוגדרו באחת מהן. עם זאת, רק אחת משלוש המדיניות האלה יכולה לכלול את הפרויקט הזה.