חשבונות ראשיים ב-IAM

בניהול הזהויות והרשאות הגישה (IAM), אתם שולטים בגישה של חשבונות משתמשים. פרינציפל מייצג זהות אחת או יותר שעברו אימות ב- Cloud de Confiance.

שימוש בפרינציפלים במדיניות

כדי להשתמש ב-principals במדיניות שלכם:

  1. הגדרת זהויות ש- Cloud de Confiance יכול לזהות. הגדרת זהויות היא תהליך של יצירת זהויות ש- Cloud de Confiance יכולות לזהות. אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.

    כדי ללמוד איך מגדירים זהויות, אפשר לעיין במאמרים הבאים:

  2. קובעים את מזהה חשבון המשתמש שבו תשתמשו. מזהה העיקרון הוא הדרך שבה מתייחסים לעיקרון במדיניות. המזהה הזה יכול להתייחס לזהות אחת או לקבוצת זהויות.

    הפורמט שבו משתמשים למזהה של חשבון משתמש תלוי בגורמים הבאים:

    • סוג חשבון המשתמש
    • סוג המדיניות שרוצים לכלול בה את חשבון המשתמש

    כדי לראות את הפורמט של מזהה חשבון המשתמש לכל סוג של חשבון משתמש בכל סוג של מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

    אחרי שמגלים את הפורמט של המזהה, אפשר לקבוע את המזהה הייחודי של חשבון המשתמש על סמך המאפיינים שלו, כמו כתובת האימייל שלו.

  3. כוללים את המזהה של החשבון הראשי במדיניות. מוסיפים את החשבון למדיניות, בהתאם לפורמט של המדיניות.

    מידע על הסוגים השונים של מדיניות ב-IAM מופיע במאמר סוגי מדיניות.

תמיכה בסוגים של חשבונות משתמשים

כל סוג של מדיניות IAM תומך בקבוצת משנה של סוגי חשבונות המשתמשים ש-IAM תומך בהם. כדי לראות את סוגי החשבונות המשתמשים שנתמכים בכל סוג מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

סוגים של חשבונות משתמשים

בטבלה הבאה מתוארים בקצרה הסוגים השונים של ישויות (principals) שנתמכים על ידי IAM. כדי לראות תיאור מפורט ודוגמאות לאופן שבו סוג של חשבון משתמש יכול להיראות כשמשתמשים בו במדיניות, לוחצים על השם של סוג חשבון המשתמש בטבלה.

סוג חשבון המשתמש תיאור גורם ראשי יחיד או קבוצת גורמים ראשיים מנוהל על ידי Google או מאוחד תמיכה בסוגי מדיניות
חשבונות שירות חשבון שמשמש עומס עבודה של מכונה ולא אדם. סכום קרן יחיד בניהול Google

סוגי המדיניות הבאים תומכים בחשבונות שירות:

  • אישור
  • דחייה
allAuthenticatedUsers מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
  • זהויות של כוח עבודה
  • זהויות של עומסי עבודה
בניהול Google

סוגי המדיניות הבאים תומכים ב-allAuthenticatedUsers עבור משאבים מסוימים:

  • אישור

אי אפשר להשתמש ב-allAuthenticatedUsers עם סוגי המדיניות הבאים:

  • דחייה
allUsers מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.

קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים:

  • חשבונות Google
  • חשבונות שירות
  • זהויות של כוח עבודה
  • זהויות של עומסי עבודה
שני הסוגים

סוגי המדיניות הבאים תומכים ב-allUsers:

  • מותר (למשאבים מסוימים)
  • דחייה
פרינציפל יחיד במאגר זהויות של כוח עבודה משתמש אנושי עם זהות שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של כוח עבודה. סכום קרן יחיד מאוחד

סוגי המדיניות הבאים תומכים בחשבון ראשי יחיד במאגר זהויות של כוח עבודה:

  • אישור
  • דחייה
קבוצה של ישויות במאגר זהויות של כוח עבודה קבוצה של משתמשים אנושיים עם זהויות שמנוהלות על ידי ספק זהויות חיצוני ומאוחדות באמצעות איחוד שירותי אימות הזהות של כוח עבודה. קבוצת חשבונות משתמש שמכילה זהויות של כוח העבודה. מאוחד

סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של כוח עבודה:

  • אישור
  • דחייה
פרינציפל יחיד במאגר זהויות של עומסי עבודה עומס עבודה (או משתמש במכונה) עם זהות שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של עומסי עבודה. סכום קרן יחיד מאוחד

סוגי המדיניות הבאים תומכים בישות מורשית יחידה במאגר זהויות של עומסי עבודה:

  • אישור
  • דחייה
קבוצה של ישויות (principals) במאגר זהויות של עומסי עבודה קבוצה של עומסי עבודה (או משתמשי מכונה) עם זהויות שמנוהלות על ידי ספק זהויות חיצוני ומאוחדות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה. קבוצת ישויות (principals) שמכילה זהויות של עומסי עבודה מאוחד

סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של עומסי עבודה:

  • אישור
  • דחייה
קבוצה של פודים של Google Kubernetes Engine עומס עבודה (או משתמש מכונה) שפועל ב-GKE ומאוחד דרך GKE. קבוצת ישויות שאפשר לכלול בה זהויות מאוחדות של עומסי עבודה מאוחד

סוגי המדיניות הבאים תומכים בתרמילים של GKE:

  • אישור

סוגי המדיניות הבאים לא תומכים בתרמילים של GKE:

  • דחייה
זהויות של סוכנים זהות של עומס עבודה מבוסס-סוכן שמאומתת באופן חזק קשורה למחזור החיים של הסוכן. סכום קרן יחיד בניהול Google

סוגי המדיניות הבאים תומכים בזהויות של סוכנים:

  • אישור
  • דחייה
סט של זהויות סוכנים כל הזהויות של הסוכנים בפרויקט, בתיקייה או בארגון. קבוצת חשבונות משתמש שמכילה את הזהויות של הסוכנים. בניהול Google

סוגי המדיניות הבאים תומכים בקבוצה של זהויות סוכנים:

  • אישור

סוגי המדיניות הבאים לא תומכים בקבוצות של זהויות סוכנים:

  • דחייה

בקטעים הבאים מוסבר על כל אחד מסוגי העיקרון האלה.

חשבונות שירות

חשבון שירות הוא חשבון של אפליקציה או של עומס עבודה ממוחשב (ולא של משתמש קצה). אפשר לחלק את חשבונות השירות לחשבונות שירות בניהול המשתמשים ולחשבונות שירות בניהול Google, שנקראים סוכני שירות:

  • כשמריצים קוד שמתארח ב- Cloud de Confiance, מציינים חשבון שירות שישמש כזהות של האפליקציה. אפשר ליצור כמה חשבונות שירות שמנוהלים על ידי המשתמש שצריך כדי לייצג את הרכיבים הלוגיים השונים באפליקציה.

  • חלק מהשירותים צריכים גישה למשאבים שלכם כדי שיוכלו לפעול בשמכם. Cloud de Confiance כדי לתת מענה לצורך הזה, Google יוצרת ומנהלת סוכני שירות.

בדוגמאות הבאות מוצגות דרכים לזיהוי חשבון שירות בסוגים שונים של כללי מדיניות:

  • מדיניות הרשאה: serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com
  • כללי מדיניות לדחייה: principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

מידע נוסף על חשבונות שירות זמין במאמרים הבאים:

allAuthenticatedUsers

הערך allAuthenticatedUsers הוא מזהה מיוחד שמייצג את כל חשבונות השירות.

הסוג הזה של חשבון משתמש לא כולל זהויות מאוחדות שמנוהלות על ידי ספקי זהויות חיצוניים (IdPs). כדי לכלול זהויות מאוחדות, משתמשים באחת מהאפשרויות הבאות:

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

allUsers

הערך allUsers הוא מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

בדוגמאות הבאות אפשר לראות איך מזהה allUsers עשוי להיראות בסוגים שונים של כללי מדיניות:

  • מדיניות הרשאות בסוגי משאבים נתמכים: allUsers
  • כללי מדיניות לדחייה: principalSet://goog/public:all

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של כוח עבודה

מאגר זהויות של כוח עבודה הוא קבוצה של זהויות משתמשים שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד שירותי אימות הזהות של כוח עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

  • זהות יחידה במאגר זהויות של כוח עבודה
  • כל הזהויות של כוח העבודה בקבוצה ספציפית
  • כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי
  • כל הזהויות במאגר זהויות של כוח עבודה

בדוגמאות הבאות אפשר לראות איך לזהות מאגרי זהויות כוח עבודה מאוחדים בסוגים שונים של מדיניות:

  • זהות אחת במדיניות ההיתרים: principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com
  • קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של עומסי עבודה

מאגר זהויות של עומסי עבודה הוא קבוצה של Workload Identity שמנוהלת על ידי ספק זהויות חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

  • זהות יחידה במאגר זהויות של עומסי עבודה
  • כל הזהויות של עומסי העבודה בקבוצה ספציפית
  • כל הזהויות של עומסי העבודה עם ערך מאפיין ספציפי
  • כל הזהויות במאגר זהויות של עומסי עבודה

בדוגמאות הבאות אפשר לראות איך אפשר לזהות מאגרי זהויות של כוח עבודה מאוחדים בסוגים שונים של מדיניות:

  • זהות אחת במדיניות ההיתרים: principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com
  • קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

GKE Pods

עומסי עבודה שפועלים ב-GKE משתמשים באיחוד זהויות של עומסי עבודה ל-GKE כדי לגשת לשירותי Cloud de Confiance . מידע נוסף על מזהי חשבונות משתמשים של Pods ב-GKE זמין במאמר הפניה למשאבי Kubernetes בכללי מדיניות של IAM.

בדוגמה הבאה אפשר לראות איך מזהים את כל הפודים של GKE באשכול ספציפי במדיניות הרשאות:

principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות של נציגים

זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבי Cloud de Confiance בהשוואה לשימוש בחשבונות שירות.

לכל סוכן מוקצית זהות סוכן באופן אוטומטי. אפשר להעניק או לדחות גישה למשאבים Cloud de Confiance באמצעות כללי מדיניות ההרשאה והדחייה ב-IAM. אפשר גם לנהל את הגישה לכל הזהויות של הסוכנים בפרויקט, בתיקייה או בארגון באמצעות מדיניות הרשאות, דחייה ומדיניות של גבולות גישה לחשבונות ראשיים.

אפשר גם לקבץ את הזהויות של הסוכנים במאגרי זהויות של סוכנים.

בדוגמאות הבאות אפשר לראות איך לזהות את הזהויות של הסוכנים בסוגים שונים של מדיניות:

  • זהות סוכן יחידה במדיניות הרשאה: principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent
  • כל הזהויות של הסוכנים בפרויקט במדיניות דחייה: principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210
  • כל הזהויות של הסוכנים בפרויקט במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB): //agents.global.org-123456789012.system.id.goog/attribute.containier/projects/9876543210

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

המאמרים הבאים