IAM-Hauptkonten

Mit Identity and Access Management (IAM) steuern Sie den Zugriff für Principals. Ein Hauptkonto stellt eine oder mehrere Identitäten dar, die sich bei Trusted Cloudauthentifiziert haben.

Prinzipale in Ihren Richtlinien verwenden

So verwenden Sie Principals in Ihren Richtlinien:

  1. Konfigurieren Sie Identitäten, die von Trusted Cloud erkannt werden können. Beim Konfigurieren von Identitäten werden Identitäten erstellt, die von Trusted Cloud erkannt werden können. Sie können Identitäten für Nutzer und Arbeitslasten konfigurieren.

    Informationen zum Konfigurieren von Identitäten finden Sie hier:

  2. Bestimmen Sie die zu verwendende Haupt-ID. Mit der Identität des Hauptkontos verweisen Sie in Ihren Richtlinien auf ein Hauptkonto. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.

    Das Format, das Sie für die Hauptkonto-ID verwenden, hängt von Folgendem ab:

    • Der Typ des Hauptkontos
    • Der Typ der Richtlinie, in der Sie das Hauptkonto einschließen möchten

    Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Richtlinienart finden Sie unter Hauptkonto-Kennungen.

    Wenn Sie das Format der Kennung kennen, können Sie die eindeutige Kennung des Hauptkontos anhand der Attribute des Hauptkontos ermitteln, z. B. anhand der E-Mail-Adresse des Hauptkontos.

  3. Fügen Sie die Kennung des Hauptkontos in Ihre Richtlinie ein. Fügen Sie Ihrem Hauptkonto die Richtlinie gemäß dem Format der Richtlinie hinzu.

    Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.

Unterstützung für Hauptkontotypen

Jeder IAM-Richtlinientyp unterstützt einen Teil der von IAM unterstützten Hauptkontentypen. Informationen zu den für jeden Richtlinientyp unterstützten Hauptkontotypen finden Sie unter Hauptkonto-IDs.

Hauptkontotypen

IAM unterstützt die folgenden Hauptkontentypen:

Diese Haupttypen werden in den folgenden Abschnitten näher beschrieben.

Dienstkonten

Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Wenn Sie Code ausführen, der aufTrusted Cloudgehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.

Weitere Informationen zu Dienstkonten finden Sie unter Dienstkontenübersicht.

allAuthenticatedUsers

Der Wert allAuthenticatedUsers ist eine spezielle Kennzeichnung für alle Dienstkonten.

Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie föderierte Identitäten einschließen möchten, haben Sie folgende Möglichkeiten:

Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.

allUsers

Der Wert allUsers ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.

Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.

Föderierte Identitäten in einem Workforce Identity-Pool

Eine föderierte Identität in einem Workforce Identity-Pool ist eine Nutzeridentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workforce Identity-Föderation föderiert wird. Sie können eine bestimmte Identität in einem Workforce Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Nutzeridentitäten in einem Workforce Identity-Pool angeben.

Föderierte Identitäten in einem Workload Identity-Pool

Eine föderierte Identität in einem Workload Identity-Pool ist eine Arbeitslastidentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workload Identity-Föderation föderiert wird. Sie können eine bestimmte Arbeitslastidentität in einem Workload Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Arbeitslastidentitäten in einem Workload Identity-Pool angeben.

GKE-Pods

Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Trusted Cloud -Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.

Nächste Schritte