Mit Identity and Access Management (IAM) steuern Sie den Zugriff für Principals. Ein Hauptkonto stellt eine oder mehrere Identitäten dar, die sich bei Trusted Cloudauthentifiziert haben.
Prinzipale in Ihren Richtlinien verwenden
So verwenden Sie Principals in Ihren Richtlinien:
Konfigurieren Sie Identitäten, die von Trusted Cloud erkannt werden können. Beim Konfigurieren von Identitäten werden Identitäten erstellt, die von Trusted Cloud erkannt werden können. Sie können Identitäten für Nutzer und Arbeitslasten konfigurieren.
Informationen zum Konfigurieren von Identitäten finden Sie hier:
- Informationen zum Konfigurieren von Identitäten für Nutzer finden Sie unter Identitäten für Nutzer.
- Informationen zum Konfigurieren von Identitäten für Arbeitslasten finden Sie unter Identitäten für Arbeitslasten.
Bestimmen Sie die zu verwendende Haupt-ID. Mit der Identität des Hauptkontos verweisen Sie in Ihren Richtlinien auf ein Hauptkonto. Diese Kennung kann sich auf eine einzelne Identität oder eine Gruppe von Identitäten beziehen.
Das Format, das Sie für die Hauptkonto-ID verwenden, hängt von Folgendem ab:
- Der Typ des Hauptkontos
- Der Typ der Richtlinie, in der Sie das Hauptkonto einschließen möchten
Das Format der Hauptkonto-ID für jeden Hauptkontotyp in jeder Richtlinienart finden Sie unter Hauptkonto-Kennungen.
Wenn Sie das Format der Kennung kennen, können Sie die eindeutige Kennung des Hauptkontos anhand der Attribute des Hauptkontos ermitteln, z. B. anhand der E-Mail-Adresse des Hauptkontos.
Fügen Sie die Kennung des Hauptkontos in Ihre Richtlinie ein. Fügen Sie Ihrem Hauptkonto die Richtlinie gemäß dem Format der Richtlinie hinzu.
Informationen zu den verschiedenen Richtlinientypen in IAM finden Sie unter Richtlinientypen.
Unterstützung für Hauptkontotypen
Jeder IAM-Richtlinientyp unterstützt einen Teil der von IAM unterstützten Hauptkontentypen. Informationen zu den für jeden Richtlinientyp unterstützten Hauptkontotypen finden Sie unter Hauptkonto-IDs.
Hauptkontotypen
IAM unterstützt die folgenden Hauptkontentypen:
- Dienstkonten
allAuthenticatedUsersallUsers- Eine oder mehrere föderierte Identitäten in einem Workforce Identity-Pool
- Eine oder mehrere föderierte Identitäten in einem Workload Identity-Pool
- Eine Reihe von Google Kubernetes Engine-Pods
Diese Haupttypen werden in den folgenden Abschnitten näher beschrieben.
Dienstkonten
Ein Dienstkonto ist ein Konto für eine Anwendung oder Computing-Arbeitslast anstelle eines einzelnen Endnutzers. Wenn Sie Code ausführen, der aufTrusted Cloudgehostet wird, geben Sie ein Dienstkonto an, das als Identität für Ihre Anwendung verwendet werden soll. Sie können so viele Dienstkonten erstellen, wie erforderlich sind, um die verschiedenen logischen Komponenten Ihrer Anwendung zu repräsentieren.
Weitere Informationen zu Dienstkonten finden Sie unter Dienstkontenübersicht.
allAuthenticatedUsers
Der Wert allAuthenticatedUsers ist eine spezielle Kennzeichnung für alle Dienstkonten.
Dieser Hauptkontotyp enthält keine föderierten Identitäten, die von externen Identitätsanbietern (IdPs) verwaltet werden. Wenn Sie föderierte Identitäten einschließen möchten, haben Sie folgende Möglichkeiten:
- Verwenden Sie
allUsers, um Nutzer von allen IdPs einzubeziehen. - Wenn Sie Nutzer von bestimmten externen IdPs einbeziehen möchten, verwenden Sie die ID für alle Identitäten in einem workforce Identity-Pool oder alle Identitäten in einem Workload Identity-Pool.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
allUsers
Der Wert allUsers ist eine spezielle Kennzeichnung für alle Internetnutzer, einschließlich authentifizierter und nicht authentifizierter Nutzer.
Einige Ressourcentypen unterstützen diesen Hauptkontotyp nicht.
Föderierte Identitäten in einem Workforce Identity-Pool
Eine föderierte Identität in einem Workforce Identity-Pool ist eine Nutzeridentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workforce Identity-Föderation föderiert wird. Sie können eine bestimmte Identität in einem Workforce Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Nutzeridentitäten in einem Workforce Identity-Pool angeben.
Föderierte Identitäten in einem Workload Identity-Pool
Eine föderierte Identität in einem Workload Identity-Pool ist eine Arbeitslastidentität, die von einem externen Identitätsanbieter verwaltet und mithilfe der Workload Identity-Föderation föderiert wird. Sie können eine bestimmte Arbeitslastidentität in einem Workload Identity-Pool verwenden oder mithilfe bestimmter Attribute eine Gruppe von Arbeitslastidentitäten in einem Workload Identity-Pool angeben.
GKE-Pods
Arbeitslasten, die in GKE ausgeführt werden, verwenden die Workload Identity Federation for GKE, um auf Trusted Cloud -Dienste zuzugreifen. Weitere Informationen zu Hauptkonto-IDs für GKE-Pods finden Sie unter Kubernetes-Ressourcen in IAM-Richtlinien referenzieren.
Nächste Schritte
- Informationen zu den von IAM unterstützten Richtlinientypen
- Einem Hauptkonto eine Rolle für ein Resource Manager-Projekt, einen Resource Manager-Ordner oder eine Resource Manager-Organisation zuweisen