במסגרת ניהול זהויות והרשאות גישה (IAM) יש כמה סוגים של כללי מדיניות שיעזרו לכם לקבוע לאילו משאבים יש למשתמשים גישה. בדף הזה נסביר את ההבדלים בין סוגי המדיניות האלה מבחינת השימוש והניהול שלהם.
סוגים של כללי מדיניות IAM ב- Cloud de Confiance
IAM מציע את סוגי המדיניות הבאים:
- מדיניות ההרשאות
- מדיניות דחייה
בטבלה הבאה מסוכמים ההבדלים בין סוגי המדיניות האלה:
| מדיניות | פונקציית המדיניות | API שמשמש לניהול המדיניות | הקשר בין מדיניות ליעדים | שיטה לצירוף כללי מדיניות ליעד | משאב ההורה של המדיניות |
|---|---|---|---|---|---|
| מדיניות ההרשאות | הענקת גישה למשאבים לחשבונות משתמשים | ממשק ה-API של המשאב שרוצים לנהל את מדיניות ההרשאות שלו |
קשר ישיר כל מדיניות הרשאות מצורפת למשאב אחד, וכל משאב יכול להכיל רק מדיניות הרשאות אחת. |
ציון משאב כשיוצרים את המדיניות | זהה למשאב שמצורפת אליו מדיניות ההרשאה |
| מדיניות דחייה | איך מוודאים שחשבונות משתמשים לא יכולים להשתמש בהרשאות ספציפיות | IAM v2 API |
קשר מסוג 'אחד לרבים' כל מדיניות דחייה מצורפת למשאב אחד, ולכל משאב יכולים להיות עד 500 כללי מדיניות דחייה. |
ציון משאב כשיוצרים מדיניות דחייה | זהה למשאב שמצורפת אליו מדיניות הדחייה |
בקטעים הבאים מפורט כל סוג מדיניות.
מדיניות למתן גישה לחשבונות משתמשים
כדי להעניק לחשבונות ראשיים גישה למשאבים, משתמשים באחת מהמדיניות הבאות:
- אפשר להשתמש במדיניות הרשאות כדי להעניק גישה לכל סוג של משאב.
- משתמשים במדיניות גישה כדי להעניק גישה למשאבי Eventarc.
מדיניות הרשאות מאפשרת לכם להעניק גישה למשאבים ב- Cloud de Confiance. מדיניות הרשאות מורכבת מקישורי תפקידים וממטא-נתונים. קישורי תפקידים מציינים לאילו חשבונות משתמשים צריכה להיות גישה לתפקיד מסוים במשאב.
מדיניות הרשאות תמיד מצורפת למשאב יחיד. אחרי שמצרפים מדיניות הרשאה למשאב, המדיניות עוברת בירושה לצאצאים של המשאב.
כדי ליצור מדיניות הרשאות ולהחיל אותה, צריך לזהות משאב שמקבל מדיניות הרשאות, ואז להשתמש ב-method setIamPolicy של המשאב כדי ליצור את מדיניות ההרשאות. כל חשבונות המשתמשים במדיניות ההרשאות מקבלים את התפקידים שצוינו במשאב ובכל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים. לכל משאב יכולה להיות מצורפת רק מדיניות הרשאה אחת.
כללי מדיניות לדחיית גישה לחשבונות משתמשים
כדי לשלול מהגורמים הראשיים גישה למשאבים, אפשר להשתמש באחת מהאפשרויות הבאות:
- אפשר להשתמש בכללי מדיניות דחייה כדי לדחות גישה לכל סוג משאב.
- להשתמש במדיניות גישה כדי לדחות גישה למשאבי Eventarc.
כללי מדיניות הדחייה, כמו כללי מדיניות ההרשאה, תמיד מצורפים למשאב יחיד. אפשר לצרף מדיניות דחייה לפרויקט, לתיקייה או לארגון. הפרויקט, התיקייה או הארגון האלה משמשים גם כהורה של המדיניות בהיררכיית המשאבים. אחרי שמצרפים מדיניות דחייה למשאב, המדיניות עוברת בירושה לצאצאים של המשאב.
כדי ליצור ולהחיל מדיניות דחייה, משתמשים ב-IAM v2 API. כשיוצרים מדיניות דחייה, מציינים את המשאב שמדיניות הדחייה מצורפת אליו. כל חשבונות המשתמש במדיניות הדחייה לא יכולים להשתמש בהרשאות שצוינו כדי לגשת למשאב הזה ולכל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים. לכל משאב יכולים להיות מצורפים עד 500 כללי מדיניות דחייה.
מידע נוסף על מדיניות דחייה זמין במאמר מדיניות דחייה.
הערכת מדיניות
כשחשבון משתמש מנסה לגשת למשאב, IAM מעריך את כל כללי מדיניות הדחייה וההרשאה הרלוונטיים כדי לראות אם לחשבון המשתמש מותר לגשת למשאב. אם אחת מהמדיניות האלה מציינת שלחשבון המשתמש לא צריכה להיות גישה למשאב, IAM מונע את הגישה.
בפועל, מערכת IAM מעריכה את כל סוגי המדיניות בו-זמנית, ואז מרכזת את התוצאות כדי לקבוע אם לחשבון המשתמש יש גישה למשאב. עם זאת, כדאי לחשוב על הערכת המדיניות הזו בשלבים הבאים:
-
IAM בודק את כל כללי מדיניות הדחייה הרלוונטיים כדי לגלות אם ההרשאה לחשבון המשתמש נדחתה. כללי מדיניות דחייה רלוונטיים הם אלו שמצורפים למשאב, וגם כל כללי מדיניות הדחייה שהועברו בירושה.
- אם מתוך הכללים הרלוונטיים, יש כללי מדיניות דחייה כלשהם שמונעים מחשבון המשתמש להשתמש בהרשאה נדרשת, IAM מונע ממנו לגשת למשאב.
- אם אין כללי מדיניות דחייה שמונעים מחשבון המשתמש להשתמש בהרשאה נדרשת, IAM ממשיך לשלב הבא.
-
IAM בודק את כל כללי מדיניות ההרשאה הרלוונטיים כדי לראות אם יש לחשבון המשתמש את ההרשאות הנדרשות. כללי מדיניות הרשאה רלוונטיים הם אלו שמצורפים למשאב, וגם כל כללי מדיניות ההרשאה שהועברו בירושה.
- אם לחשבון המשתמש אין את ההרשאות הנדרשות, IAM ימנע ממנו לגשת למשאב.
- אם לחשבון המשתמש יש את ההרשאות הנדרשות, IAM יאפשר לו גישה למשאב.
תהליך הערכת המדיניות מוצג בתרשים הבא:
המאמרים הבאים
- מידע נוסף על כללי מדיניות הרשאה
- מידע נוסף על כללי מדיניות של דחייה