身分與存取權管理 (IAM) 提供多種政策,可協助您控管主體可存取的資源。本頁面可協助您瞭解這兩種政策類型在使用和管理上的差異。
Cloud de Confiance中的 IAM 政策類型
IAM 提供下列類型的政策:
- 允許政策
- 拒絕政策
下表摘要列出這些政策類型的差異:
| 政策 | 政策功能 | 用於管理政策的 API | 政策與目標之間的關係 | 將政策附加至目標的方法 | 政策的父項資源 |
|---|---|---|---|---|---|
| 允許政策 | 授予主體資源存取權 | 您要管理允許政策的資源 API |
一對一關係 每項允許政策都會附加至一項資源,且每項資源只能有一項允許政策 |
建立政策時指定資源 | 與附加允許政策的資源相同 |
| 拒絕政策 | 確保主體無法使用特定權限 | IAM 第 2 版 API |
一對多關係 每項拒絕政策都會附加至一項資源;每項資源最多可有 500 項拒絕政策 |
建立拒絕政策時指定資源 | 與附加拒絕政策的資源相同 |
以下各節詳細說明每種政策類型。
授予主體存取權的政策
如要授予主體資源存取權,請使用下列其中一項政策:
- 透過允許政策授予任何資源類型的存取權。
- 使用存取權政策授予 Eventarc 資源的存取權。
允許政策可讓您授予 Cloud de Confiance中資源的存取權。允許政策由角色繫結和中繼資料組成。角色繫結會指定哪些主體應具備資源的特定角色。
允許政策一律會附加至單一資源。將允許政策附加至資源後,該資源的子系會繼承這項政策。
如要建立及套用允許政策,請找出接受允許政策的資源,然後使用該資源的 setIamPolicy 方法建立允許政策。允許政策中的所有主體,都會取得資源和所有後代資源的指定角色。每項資源只能附加一項允許政策。
如要進一步瞭解允許政策,請參閱「瞭解允許政策」。
拒絕主體存取權的政策
如要拒絕主體存取資源,請使用下列其中一種做法:
- 使用拒絕政策拒絕任何資源類型的存取權。
- 使用存取權政策拒絕存取 Eventarc 資源。
拒絕政策與允許政策一樣,一律附加至單一資源。您可以將拒絕政策附加至專案、資料夾或機構。這個專案、資料夾或機構也會在資源階層中做為政策的父項。將拒絕政策附加至資源後,該資源的後代會沿用這項政策。
如要建立及套用拒絕政策,請使用 IAM v2 API。建立拒絕政策時,請指定要附加拒絕政策的資源。拒絕政策中的所有主體都無法使用指定權限,存取該資源和該資源的任何子系。每項資源最多可附加 500 項拒絕政策。
如要進一步瞭解拒絕政策,請參閱「拒絕政策」。
政策評估
主體嘗試存取資源時,IAM 會評估所有相關的允許和拒絕政策,判斷主體是否獲准存取資源。如果其中任何一項政策指出主體不應能夠存取資源,IAM 就會禁止存取。
實際上,IAM 會同時評估所有政策類型,然後彙整結果,判斷主體是否可以存取資源。不過,您可以將這項政策評估視為在下列階段進行:
-
IAM 會檢查所有相關的拒絕政策,確認主體是否遭到拒絕授權。相關拒絕政策是指附加至資源的拒絕政策,以及任何沿用的拒絕政策。
- 如果任何拒絕政策禁止主體使用必要權限,IAM 就會禁止主體存取資源。
- 如果沒有任何拒絕政策禁止主體使用必要權限,IAM 會繼續執行下一個步驟。
-
IAM 會檢查所有相關的允許政策,確認主體是否具備必要權限。相關允許政策是指附加至資源的允許政策,以及沿用的允許政策。
- 如果主體沒有必要權限,IAM 會禁止他們存取資源。
- 如果主體具備必要權限,IAM 就會允許他們存取資源。
下圖顯示這項政策評估流程:
