In Identity and Access Management (IAM) steuern Sie den Zugriff für Hauptkonten. Ein Hauptkonto repräsentiert eine oder mehrere Identitäten, die sich bei Cloud de Confianceauthentifiziert haben.
Identitäten in Richtlinien verwenden
So verwenden Sie Principals in Ihren Richtlinien:
Identitäten konfigurieren, die Cloud de Confiance erkennen kann: Beim Konfigurieren von Identitäten werden Identitäten erstellt, die Cloud de Confiance erkennen kann. Sie können Identitäten für Nutzer und für Arbeitslasten konfigurieren.
Informationen zum Konfigurieren von Identitäten finden Sie hier:
- Informationen zum Konfigurieren von Identitäten für Nutzer finden Sie unter Identitäten für Nutzer.
- Informationen zum Konfigurieren von Identitäten für Arbeitslasten finden Sie unter Identitäten für Arbeitslasten.
Hauptkonto-ID ermitteln, die Sie verwenden möchten Die Hauptkonto-ID ist die Art und Weise, wie Sie in Ihren Richtlinien auf ein Hauptkonto verweisen. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.
Das Format, das Sie für die Hauptkonto-ID verwenden, hängt von Folgendem ab:
- Art des Hauptkontos
- Der Typ der Richtlinie, in die das Hauptkonto aufgenommen werden soll
Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Richtlinienart finden Sie unter Hauptkonto-IDs.
Nachdem Sie das Format der ID kennen, können Sie die eindeutige ID des Hauptkontos anhand der Attribute des Hauptkontos, z. B. der E‑Mail-Adresse des Hauptkontos, ermitteln.
Kennung des Hauptkontos in die Richtlinie aufnehmen: Fügen Sie Ihr Hauptkonto gemäß dem Format der Richtlinie hinzu.
Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.
Unterstützung für Hauptkontotypen
Jeder IAM-Richtlinientyp unterstützt eine Teilmenge der Hauptkontotypen, die von IAM unterstützt werden. Informationen zu den Hauptkontotypen, die für die einzelnen Richtlinientypen unterstützt werden, finden Sie unter Hauptkonto-IDs.
Hauptkontotypen
In der folgenden Tabelle werden die verschiedenen von IAM unterstützten Hauptkontotypen kurz beschrieben. Wenn Sie auf den Namen des Prinzipaltyps in der Tabelle klicken, erhalten Sie eine detaillierte Beschreibung und Beispiele dafür, wie ein Prinzipaltyp in einer Richtlinie aussehen kann.
| Hauptkonto-Typ | Beschreibung | Einzelnes Konto oder Kontogruppe | Von Google verwaltet oder föderiert | Unterstützung für Richtlinientypen |
|---|---|---|---|---|
| Dienstkonten | Ein Konto, das von einer Computerarbeitslast und nicht von einer Person verwendet wird. | Einzelnes Hauptkonto | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen Dienstkonten:
|
| Eine Reihe von Dienstkonten | Alle Dienstkonten in einem Projekt, Ordner oder einer Organisation. | Hauptkonto-Set, das Dienstkonten enthält. | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen eine Reihe von Dienstkonten:
|
| Eine Reihe von Dienst-Agents | Alle von Google verwalteten Dienstkonten (Dienst-Agents), die mit einem Projekt, Ordner oder einer Organisation verknüpft sind. | Hauptkonto-Set, das Dienst-Agents enthält. | Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen eine Reihe von Dienst-Agents:
Die folgenden Richtlinientypen unterstützen keine Gruppe von Dienst-Agents:
|
allAuthenticatedUsers |
Eine spezielle Kennung für alle Dienstkonten und alle Nutzer im Internet, die sich mit einem Google-Konto authentifiziert haben. |
Eine Gruppe von Hauptkonten, die die folgenden Hauptkontotypen enthalten kann:
|
Von Google verwaltet |
Die folgenden Richtlinientypen unterstützen
Die folgenden Richtlinientypen unterstützen
|
allUsers |
Eine spezielle Kennung für alle Identitäten im Internet, einschließlich authentifizierter und nicht authentifizierter Nutzer. |
Eine Gruppe von Hauptkonten, die die folgenden Hauptkontotypen enthalten kann:
|
Beides |
Die folgenden Richtlinientypen unterstützen
|
| Einzelne Identität in einem Workforce Identity-Pool | Ein menschlicher Nutzer mit einer Identität, die von einem externen IdP verwaltet und über die Workforce Identity-Föderation verbunden wird. | Einzelnes Hauptkonto | Föderiert |
Die folgenden Richtlinientypen unterstützen eine einzelne Identität in einem Workforce Identity-Pool:
|
| Eine Gruppe von Identitäten in einem Workforce Identity-Pool | Eine Gruppe von menschlichen Nutzern mit Identitäten, die von einem externen IdP verwaltet und mithilfe der Workforce Identity-Föderation zusammengeführt werden. | Hauptkontosatz, der Mitarbeiteridentitäten enthält. | Föderiert |
Die folgenden Richtlinientypen unterstützen eine Reihe von Identitäten in einem Workforce-Identitätspool:
|
| Ein einzelnes Hauptkonto in einem Workload Identity-Pool | Eine Arbeitslast (oder ein Maschinenkonto) mit einer Identität, die von einem externen IdP verwaltet und mit der Workload Identity-Föderation zusammengeführt wird. | Einzelnes Hauptkonto | Föderiert |
Die folgenden Richtlinientypen unterstützen ein einzelnes Hauptkonto in einem Workload Identity-Pool:
|
| Eine Gruppe von Principals in einem Workload Identity-Pool | Eine Reihe von Arbeitslasten (oder Maschinenbenutzern) mit Identitäten, die von einem externen IdP verwaltet und mithilfe der Workload Identity-Föderation föderiert werden. | Hauptkonto-Set, das Arbeitslastidentitäten enthält | Föderiert |
Die folgenden Richtlinientypen unterstützen eine Reihe von Identitäten in einem Workload Identity-Pool:
|
| Eine Gruppe von Google Kubernetes Engine-Pods | Eine Arbeitslast (oder ein Maschinenbenutzer), die in GKE ausgeführt und über GKE eingebunden wird. | Hauptkontosatz, der eine oder mehrere föderierte Arbeitslastidentitäten enthalten kann | Föderiert |
Die folgenden Richtlinientypen unterstützen GKE-Pods:
Die folgenden Richtlinientypen unterstützen keine GKE-Pods:
|
In den folgenden Abschnitten werden diese Haupttypen näher beschrieben.
Dienstkonten
Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Dienstkonten lassen sich in nutzerverwaltete Dienstkonten und von Google verwaltete Dienstkonten unterteilen, die als Dienst-Agents bezeichnet werden:
Wenn Sie Code ausführen, der auf Cloud de Confiancegehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele von Nutzern verwaltete Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.
Einige Cloud de Confiance -Dienste benötigen Zugriff auf Ihre Ressourcen, damit sie Aufgaben für Sie ausführen können. Google erstellt und verwaltet Dienst-Agents, um diesem Bedarf gerecht zu werden.
Sie können auf Dienstkonten und Dienst-Agents auf folgende Weise verweisen:
- Ein einzelnes Dienstkonto
- Alle Dienstkonten in einem Projekt
- Alle Dienst-Agents, die mit einem Projekt verknüpft sind.
- Alle Dienstkonten in allen Projekten in einem Ordner
- Alle Dienst-Agents, die einem Ordner und seinen untergeordneten Elementen zugeordnet sind
- Alle Dienstkonten in allen Projekten einer Organisation
- Alle Dienst-Agents, die mit einer Organisation und ihren untergeordneten Organisationen verknüpft sind
Die folgenden Beispiele zeigen, wie Sie ein einzelnes Dienstkonto in verschiedenen Arten von Richtlinien identifizieren können:
- Dienstkonto in „allow“-Richtlinien:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - Dienstkonto in Ablehnungsrichtlinien:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
Die folgenden Beispiele zeigen, wie Sie alle Dienstkonten für ein Projekt, einen Ordner oder eine Organisation in verschiedenen Arten von Richtlinien identifizieren können:
- Alle Dienstkonten für ein Projekt in „allow“-Richtlinien:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - Alle Dienst-Agents, die mit einem Ordner in Ablehnungsrichtlinien verknüpft sind:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Weitere Informationen zu Dienstkonten finden Sie auf den folgenden Seiten:
allAuthenticatedUsers
Der Wert allAuthenticatedUsers ist eine spezielle Kennzeichnung für alle Dienstkonten.
Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie föderierte Identitäten einbeziehen möchten, haben Sie folgende Möglichkeiten:
- Verwenden Sie
allUsers, um Nutzer von allen IdPs einzubeziehen. - Wenn Sie Nutzer von bestimmten externen IdPs einbeziehen möchten, verwenden Sie die ID für alle Identitäten in einem workforce Identity-Pool oder alle Identitäten in einem Workload Identity-Pool.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
allUsers
Der Wert allUsers ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
Die folgenden Beispiele zeigen, wie der allUsers-Bezeichner in verschiedenen Arten von Richtlinien aussehen kann:
- Zulassungsrichtlinien für unterstützte Ressourcentypen:
allUsers - Ablehnungsrichtlinien:
principalSet://goog/public:all
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Föderierte Identitäten in einem Workforce Identity-Pool
Ein Workforce Identity-Pool ist eine Gruppe von Nutzeridentitäten, die von einem externen IdP verwaltet und mithilfe der Workforce Identity-Föderation zusammengeführt werden. Sie können auf Hauptkonten in diesen Pools auf folgende Weise verweisen:
- Einzelne Identität in einem Workforce Identity-Pool
- Alle Workforce-Identitäten in einer angegebenen Gruppe
- Alle Workforce-Identitäten mit einem bestimmten Attributwert
- Alle Identitäten in einem Workforce Identity-Pool
Die folgenden Beispiele zeigen, wie Sie Pools mit föderierten Workforce-Identitäten in verschiedenen Arten von Richtlinien identifizieren können:
- Einzelne Identität in „allow“-Richtlinien:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Eine Gruppe von Identitäten in Ablehnungsrichtlinien:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Föderierte Identitäten in einem Workload Identity-Pool
Ein Workload Identity-Pool ist eine Gruppe von Arbeitslastidentitäten, die von einem externen IdP verwaltet und mithilfe der Identitätsföderation von Arbeitslasten föderiert werden. Sie können auf Hauptkonten in diesen Pools auf folgende Weise verweisen:
- Einzelne Identität in einem Workload Identity-Pool
- Alle Workload-Identitäten in einer angegebenen Gruppe
- Alle Workload-Identitäten mit einem bestimmten Attributwert
- Alle Identitäten in einem Workload Identity-Pool:
Die folgenden Beispiele zeigen, wie Sie Pools für föderierte Workload-Identitäten in verschiedenen Arten von Richtlinien identifizieren können:
- Einzelne Identität in „allow“-Richtlinien:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Eine Gruppe von Identitäten in Ablehnungsrichtlinien:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
GKE-Pods
Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Cloud de Confiance Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.
Das folgende Beispiel zeigt, wie Sie alle GKE-Pods in einem bestimmten Cluster in einer Zulassungsrichtlinie identifizieren können:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Weitere Informationen zu Formaten für Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Nächste Schritte
- Von IAM unterstützte Richtlinientypen
- Einem Hauptkonto eine Rolle zuweisen für ein Resource Manager-Projekt, einen Ordner oder eine Organisation