In Identity and Access Management (IAM) steuern Sie den Zugriff für Hauptkonten. Ein Hauptkonto repräsentiert eine oder mehrere Identitäten, die sich bei Cloud de Confianceauthentifiziert haben.
Principals in Richtlinien verwenden
So verwenden Sie Principals in Ihren Richtlinien:
Identitäten konfigurieren, die Cloud de Confiance erkennen kann: Beim Konfigurieren von Identitäten werden Identitäten erstellt, die Cloud de Confiance erkennen kann. Sie können Identitäten für Nutzer und für Arbeitslasten konfigurieren.
Informationen zum Konfigurieren von Identitäten finden Sie hier:
- Informationen zum Konfigurieren von Identitäten für Nutzer finden Sie unter Identitäten für Nutzer.
- Informationen zum Konfigurieren von Identitäten für Arbeitslasten finden Sie unter Identitäten für Arbeitslasten.
Hauptkonto-ID bestimmen Die Hauptkonto-ID ist die Art und Weise, wie Sie in Ihren Richtlinien auf ein Hauptkonto verweisen. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.
Das Format, das Sie für die Prinzipal-ID verwenden, hängt von Folgendem ab:
- Art des Hauptkontos
- Der Typ der Richtlinie, in die das Hauptkonto aufgenommen werden soll
Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Art von Richtlinie finden Sie unter Hauptkonto-IDs.
Nachdem Sie das Format der ID kennen, können Sie die eindeutige ID des Hauptkontos anhand der Attribute des Hauptkontos, z. B. der E‑Mail-Adresse des Hauptkontos, ermitteln.
Fügen Sie die Kennung des Hauptkontos in Ihre Richtlinie ein. Fügen Sie das Hauptkonto gemäß dem Format der Richtlinie hinzu.
Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.
Unterstützung für Hauptkontotypen
Jeder IAM-Richtlinientyp unterstützt eine Teilmenge der Hauptkontotypen, die von IAM unterstützt werden. Informationen zu den Hauptkontotypen, die für die einzelnen Richtlinientypen unterstützt werden, finden Sie unter Hauptkonto-IDs.
Hauptkontotypen
In der folgenden Tabelle werden die verschiedenen von IAM unterstützten Hauptkontotypen kurz beschrieben. Klicken Sie in der Tabelle auf den Namen des Prinzipaltyps, um eine detaillierte Beschreibung und Beispiele für die Verwendung in einer Richtlinie aufzurufen.
| Hauptkonto-Typ | Beschreibung | Einzelner Prinzipal oder Prinzipalgruppe | Von Google verwaltet oder föderiert | Unterstützung von Richtlinientypen |
|---|---|---|---|---|
| Dienstkonten | Ein Konto, das von einer Computerarbeitslast und nicht von einer Person verwendet wird. | Einzelner Prinzipal | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen Dienstkonten:
|
allAuthenticatedUsers |
Eine spezielle Kennung für alle Dienstkonten und alle Nutzer im Internet, die sich mit einem Google-Konto authentifiziert haben. |
Hauptkonto-Set, das die folgenden Hauptkontotypen enthalten kann:
|
Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen
Die folgenden Richtlinientypen unterstützen
|
allUsers |
Eine spezielle Kennung für alle Identitäten im Internet, einschließlich authentifizierter und nicht authentifizierter Nutzer. |
Hauptkonto-Set, das die folgenden Hauptkontotypen enthalten kann:
|
Beides |
Die folgenden Richtlinientypen unterstützen
|
| Ein einzelnes Konto in einem Workforce Identity-Pool | Ein menschlicher Nutzer mit einer Identität, die von einem externen IdP verwaltet und über die Workforce Identity-Föderation verbunden wird. | Einzelner Prinzipal | Föderiert |
Die folgenden Richtlinientypen unterstützen einen einzelnen Principal in einem Mitarbeiteridentitätspool:
|
| Eine Gruppe von Identitäten in einem Workforce Identity-Pool | Eine Gruppe von menschlichen Nutzern mit Identitäten, die von einem externen IdP verwaltet und mithilfe der Workforce Identity-Föderation zusammengeführt werden. | Hauptkontogruppe, die Mitarbeiteridentitäten enthält. | Föderiert |
Die folgenden Richtlinientypen unterstützen eine Gruppe von Identitäten in einem Workforce Identity-Pool:
|
| Ein einzelnes Hauptkonto in einem Workload Identity-Pool | Eine Arbeitslast (oder ein Maschinenkonto) mit einer Identität, die von einem externen IdP verwaltet und mit der Workload Identity-Föderation zusammengeführt wird. | Einzelner Prinzipal | Föderiert |
Die folgenden Richtlinientypen unterstützen ein einzelnes Hauptkonto in einem Workload Identity-Pool:
|
| Eine Gruppe von Hauptkonten in einem Workload Identity-Pool | Eine Reihe von Arbeitslasten (oder Maschinenbenutzern) mit Identitäten, die von einem externen IdP verwaltet und mithilfe der Workload Identity-Föderation föderiert werden. | Hauptkonto-Set mit Arbeitslastidentitäten | Föderiert |
Die folgenden Richtlinientypen unterstützen eine Reihe von Identitäten in einem Workload Identity-Pool:
|
| Eine Gruppe von Google Kubernetes Engine-Pods | Eine Arbeitslast (oder ein Maschinenbenutzer), die in GKE ausgeführt und über GKE eingebunden wird. | Hauptkontosatz, der eine oder mehrere föderierte Arbeitslastidentitäten enthalten kann | Föderiert |
Die folgenden Richtlinientypen unterstützen GKE-Pods:
Die folgenden Richtlinientypen unterstützen keine GKE-Pods:
|
| Identitäten von KI-Agenten | Eine Identität für eine agentische Arbeitslast, die stark attestiert ist, ist an den Lebenszyklus des KI-Agenten gebunden. | Einzelner Prinzipal | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen Agent-Identitäten:
|
| Eine Reihe von Agentenidentitäten | Alle Agent-Identitäten in einem Projekt, Ordner oder einer Organisation. | Prinzipalgruppe, die Agentenidentitäten enthält. | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen eine Reihe von Agent-Identitäten:
Die folgenden Richtlinientypen unterstützen keine Gruppen von Agent-Identitäten:
|
Diese Haupttypen werden in den folgenden Abschnitten näher beschrieben.
Dienstkonten
Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Dienstkonten lassen sich in nutzerverwaltete Dienstkonten und von Google verwaltete Dienstkonten unterteilen, die als Dienst-Agents bezeichnet werden:
Wenn Sie Code ausführen, der auf Cloud de Confiancegehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele nutzerverwaltete Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.
Einige Cloud de Confiance -Dienste benötigen Zugriff auf Ihre Ressourcen, damit sie Aufgaben für Sie ausführen können. Dazu erstellt und verwaltet Google Dienst-Agents.
Die folgenden Beispiele zeigen, wie Sie ein Dienstkonto in verschiedenen Arten von Richtlinien identifizieren können:
- Zulassungsrichtlinien:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - Ablehnungsrichtlinien:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Weitere Informationen zu Dienstkonten finden Sie auf den folgenden Seiten:
allAuthenticatedUsers
Der Wert allAuthenticatedUsers ist eine spezielle Kennzeichnung für alle Dienstkonten.
Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie föderierte Identitäten einbeziehen möchten, haben Sie folgende Möglichkeiten:
- Verwenden Sie
allUsers, um Nutzer von allen IdPs einzubeziehen. - Wenn Sie Nutzer von bestimmten externen IdPs einbeziehen möchten, verwenden Sie die ID für alle Identitäten in einem workforce Identity-Pool oder alle Identitäten in einem Workload Identity-Pool.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
allUsers
Der Wert allUsers ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
Die folgenden Beispiele zeigen, wie der allUsers-Bezeichner in verschiedenen Richtlinientypen aussehen kann:
- Zulassungsrichtlinien für unterstützte Ressourcentypen:
allUsers - Ablehnungsrichtlinien:
principalSet://goog/public:all
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Föderierte Identitäten in einem Workforce Identity-Pool
Ein Workforce Identity-Pool ist eine Gruppe von Nutzeridentitäten, die von einem externen IdP verwaltet und mithilfe der Workforce Identity-Föderation föderiert werden. Sie können auf Hauptkonten in diesen Pools auf folgende Weise verweisen:
- Einzelne Identität in einem Mitarbeiteridentitätspool
- Alle Workforce-Identitäten in einer bestimmten Gruppe
- Alle Mitarbeiteridentitäten mit einem bestimmten Attributwert
- Alle Identitäten in einem Mitarbeiteridentitätspool
Die folgenden Beispiele zeigen, wie Sie Pools für die Identität von Mitarbeitern mit Föderation in verschiedenen Arten von Richtlinien identifizieren können:
- Einzelne Identität in „allow“-Richtlinien:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Eine Gruppe von Identitäten in Ablehnungsrichtlinien:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Föderierte Identitäten in einem Workload Identity-Pool
Ein Workload Identity-Pool ist eine Gruppe von Arbeitslastidentitäten, die von einem externen IdP verwaltet und mithilfe der Identitätsföderation von Arbeitslasten föderiert werden. Sie können auf Hauptkonten in diesen Pools auf folgende Weise verweisen:
- Einzelne Identität in einem Workload Identity-Pool
- Alle Workload-Identitäten in einer angegebenen Gruppe
- Alle Workload-Identitäten mit einem bestimmten Attributwert
- Alle Identitäten in einem Workload Identity-Pool
Die folgenden Beispiele zeigen, wie Sie Pools mit föderierten Workload-Identitäten in verschiedenen Arten von Richtlinien identifizieren können:
- Einzelne Identität in „allow“-Richtlinien:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Eine Gruppe von Identitäten in Ablehnungsrichtlinien:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
GKE-Pods
Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Cloud de Confiance Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.
Das folgende Beispiel zeigt, wie Sie alle GKE-Pods in einem bestimmten Cluster in einer Zulassungsrichtlinie identifizieren können:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Agentenidentitäten
Eine Agentenidentität ist eine von Google verwaltete Identität für agentische Arbeitslasten. Die Identität eines Agents wird bestätigt und an den Lebenszyklus des Agents gebunden. Dies bietet eine sicherere Möglichkeit, den Zugriff von Agents auf Cloud de Confiance Ressourcen zu verwalten, als die Verwendung von Dienstkonten.
Für jeden Agent wird automatisch eine Agent-Identität bereitgestellt. Sie können den Zugriff auf Cloud de Confiance -Ressourcen mit IAM-Zulassungs- und ‑Ablehnungsrichtlinien gewähren oder verweigern. Sie können den Zugriff für alle Agent-Identitäten in einem Projekt, Ordner oder einer Organisation auch mit Richtlinien für Zulassen, Verweigern und Hauptkonto-Zugriffsgrenzen verwalten.
Agent-Identitäten können auch in Agent-Identitätspools gruppiert werden.
Die folgenden Beispiele zeigen, wie Sie Agentenidentitäten in verschiedenen Arten von Richtlinien identifizieren können:
- Eine einzelne Agent-Identität in einer „allow“-Richtlinie:
principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent - Alle Agent-Identitäten in einem Projekt in einer Ablehnungsrichtlinie:
principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210 - Alle Agent-Identitäten in einem Projekt in einer Principal Access Boundary-Richtlinie:
//agents.global.org-123456789012.system.id.goog/attribute.containier/projects/9876543210
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Nächste Schritte
- Von IAM unterstützte Richtlinientypen
- Einem Hauptkonto eine Rolle zuweisen für ein Resource Manager-Projekt, einen Ordner oder eine Organisation