Identity and Access Management (IAM) bietet mehrere Arten von Richtlinien, mit denen Sie steuern können, auf welche Ressourcen Hauptkonten zugreifen können. Auf dieser Seite erfahren Sie, wie sich diese Richtlinientypen hinsichtlich Verwendung und Verwaltung unterscheiden.
IAM-Richtlinientypen
IAM bietet die folgenden Richtlinientypen:
- Zulassungsrichtlinien
- Ablehnungsrichtlinien
In der folgenden Tabelle werden die Unterschiede zwischen diesen Richtlinientypen zusammengefasst:
| Richtlinie | Richtlinienfunktion | API, die zum Verwalten der Richtlinie verwendet wird | Beziehung zwischen Richtlinien und Zielen | Methode zum Anhängen von Richtlinien an ein Ziel | Übergeordnete Ressource der Richtlinie |
|---|---|---|---|---|---|
| Zulassungsrichtlinien | Hauptkonten Zugriff auf Ressourcen gewähren | Die API für die Ressource, für die Sie Zulassungsrichtlinien verwalten möchten |
1:1-Beziehung Jede Zulassungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann nur eine Zulassungsrichtlinie haben. |
Ressource beim Erstellen der Richtlinie angeben | Entspricht der Ressource, der die Zulassungsrichtlinie zugeordnet ist |
| Ablehnungsrichtlinien | Verhindern, dass Hauptkonten bestimmte Berechtigungen verwenden | IAM v2 API |
1:n-Beziehung Jede Ablehnungsrichtlinie ist mit einer Ressource verknüpft. Jede Ressource kann bis zu 500 Ablehnungsrichtlinien haben. |
Ressource beim Erstellen der Ablehnungsrichtlinie angeben | Entspricht der Ressource, mit der die Ablehnungsrichtlinie verknüpft ist |
In den folgenden Abschnitten finden Sie Details zu den einzelnen Richtlinientypen.
Richtlinien zum Gewähren von Zugriff für Hauptkonten
Verwenden Sie IAM-Zulassungsrichtlinien, um Hauptkonten Zugriff auf Ressourcen zu gewähren.
Mit Zulassungsrichtlinien können Sie Zugriff auf Ressourcen in Google Cloud gewähren. Zulassungsrichtlinien bestehen aus Rollenbindungen und Metadaten. Mit Rollenbindungen wird festgelegt, welche Hauptkonten eine bestimmte Rolle für die Ressource haben sollen.
Zulassungsrichtlinien sind immer mit einer einzelnen Ressource verknüpft. Nachdem Sie einer Ressource eine Zulassungsrichtlinie hinzugefügt haben, wird sie von den untergeordneten Elementen dieser Ressource übernommen.
Wenn Sie eine Zulassungsrichtlinie erstellen und anwenden möchten, müssen Sie eine Ressource angeben, für die Zulassungsrichtlinien zulässig sind. Verwenden Sie dann die Methode setIamPolicy dieser Ressource, um die Zulassungsrichtlinie zu erstellen. Allen Hauptkonten in der Zulassungsrichtlinie werden die angegebenen Rollen für die Ressource und alle untergeordneten Elemente der Ressource gewährt. Jede Ressource kann nur eine Zulassungsrichtlinie haben.
Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.
Richtlinien zum Verweigern des Zugriffs für Hauptkonten
Verwenden Sie IAM-Ablehnungsrichtlinien, um Hauptkonten den Zugriff auf Ressourcen zu verweigern. IAM-Ablehnungsrichtlinien sind in der IAM v2 API verfügbar.
Ablehnungsrichtlinien sind, genau wie Zulassungsrichtlinien, immer mit einer einzelnen Ressource verknüpft. Sie können eine Ablehnungsrichtlinie an ein Projekt, einen Ordner oder eine Organisation anhängen. Dieses Projekt, dieser Ordner oder diese Organisation ist auch das übergeordnete Element der Richtlinie in der Ressourcenhierarchie. Nachdem Sie einer Ressource eine Ablehnungsrichtlinie hinzugefügt haben, wird sie von den untergeordneten Elementen dieser Ressource übernommen.
Zum Erstellen und Anwenden von Ablehnungsrichtlinien verwenden Sie die IAM v2 API. Wenn Sie eine Deaktivierungsrichtlinie erstellen, geben Sie die Ressource an, an die die Deaktivierungsrichtlinie angehängt ist. Alle Hauptkonten in der Ablehnungsrichtlinie können die angegebenen Berechtigungen nicht für den Zugriff auf diese Ressource und ihre Nachfolgerelemente verwenden. An jede Ressource können bis zu 500 Ablehnungsrichtlinien angehängt werden.
Weitere Informationen zu Ablehnungsrichtlinien finden Sie unter Ablehnungsrichtlinien.
Richtlinienbewertung
Wenn ein Hauptkonto versucht, auf eine Ressource zuzugreifen, wertet IAM alle relevanten Zulassungs- und Ablehnungsrichtlinien aus, um festzustellen, ob das Hauptkonto auf die Ressource zugreifen darf. Wenn eine dieser Richtlinien angibt, dass das Hauptkonto nicht auf die Ressource zugreifen darf, verhindert IAM den Zugriff.
In Wirklichkeit wertet IAM alle Richtlinientypen gleichzeitig aus und fasst die Ergebnisse zusammen, um zu ermitteln, ob das Hauptkonto auf die Ressource zugreifen kann. Es kann jedoch hilfreich sein, sich diese Richtlinienbewertung in den folgenden Phasen vorzustellen:
-
IAM prüft alle relevanten Ablehnungsrichtlinien, um festzustellen, ob die Berechtigung für das Hauptkonto abgelehnt wurde. Relevante Ablehnungsrichtlinien sind die Ablehnungsrichtlinien, die mit der Ressource verknüpft sind, sowie alle übernommenen Ablehnungsrichtlinien.
- Wenn irgendeine dieser Ablehnungsrichtlinien das Hauptkonto daran hindert, eine erforderliche Berechtigung zu verwenden, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn keine Ablehnungsrichtlinien verhindern, dass das Hauptkonto eine erforderliche Berechtigung verwendet, fährt IAM mit dem nächsten Schritt fort.
-
IAM prüft alle relevanten Zulassungsrichtlinien, um zu ermitteln, ob das Hauptkonto die erforderlichen Berechtigungen hat. Relevante Zulassungsrichtlinien sind die Zulassungsrichtlinien, die der Ressource zugeordnet sind, sowie alle übernommenen Zulassungsrichtlinien.
- Wenn der Hauptkonto nicht die erforderlichen Berechtigungen hat, verhindert IAM, dass es auf die Ressource zugreift.
- Wenn das Hauptkonto die erforderlichen Berechtigungen hat, ermöglicht IAM ihm den Zugriff auf die Ressource.
Das folgende Diagramm zeigt diesen Richtlinienbewertungsablauf:
Nächste Schritte
- Weitere Informationen zu Zulassungsrichtlinien.
- Weitere Informationen zu Ablehnungsrichtlinien