יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

חשבונות ראשיים ב-IAM

בניהול הזהויות והרשאות הגישה (IAM), אתם שולטים בגישה של חשבונות משתמשים. פרינציפל מייצג זהות אחת או יותר שעברו אימות ב- Cloud de Confiance.

שימוש בפרינציפלים במדיניות

כדי להשתמש בפרינסיפלים במדיניות שלכם:

הגדרת זהויות ש- Cloud de Confiance יכול לזהות. הגדרת זהויות היא תהליך של יצירת זהויות ש- Cloud de Confiance יכולות לזהות. אפשר להגדיר זהויות למשתמשים ולעומסי עבודה.

כדי ללמוד איך מגדירים זהויות, אפשר לעיין במאמרים הבאים:
- במאמר זהויות של משתמשים מוסבר איך מגדירים זהויות למשתמשים.
- למידע נוסף על הגדרת זהויות לעומסי עבודה, תוכלו לקרוא את המאמר זהויות לעומסי עבודה.
קובעים את מזהה חשבון המשתמש שבו תשתמשו. המזהה העיקרי הוא הדרך שבה מתייחסים לעיקרון במדיניות. המזהה הזה יכול להתייחס לזהות אחת או לקבוצת זהויות.

הפורמט שבו משתמשים למזהה של חשבון משתמש תלוי בגורמים הבאים:
- סוג חשבון המשתמש
- סוג המדיניות שרוצים לכלול בה את חשבון המשתמש
כדי לראות את הפורמט של מזהה חשבון המשתמש לכל סוג של חשבון משתמש בכל סוג של מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

אחרי שמגלים את הפורמט של המזהה, אפשר לקבוע את המזהה הייחודי של חשבון המשתמש על סמך המאפיינים שלו, כמו כתובת האימייל שלו.
כוללים את המזהה של החשבון הראשי במדיניות. מוסיפים את החשבון הראשי למדיניות, בהתאם לפורמט של המדיניות.

מידע על הסוגים השונים של מדיניות ב-IAM מופיע במאמר סוגי מדיניות.

תמיכה בסוגים של חשבונות משתמשים

כל סוג של מדיניות IAM תומך בקבוצת משנה של סוגי החשבונות הראשיים ש-IAM תומך בהם. כדי לראות את סוגי החשבונות המשתמשים שנתמכים בכל סוג מדיניות, אפשר לעיין במאמר מזהים של חשבונות משתמשים.

סוגים של חשבונות משתמשים

בטבלה הבאה מתוארים בקצרה הסוגים השונים של ישויות (principals) שנתמכים על ידי IAM. כדי לראות תיאור מפורט ודוגמאות לאופן שבו סוג של חשבון משתמש יכול להיראות כשמשתמשים בו במדיניות, לוחצים על השם של סוג חשבון המשתמש בטבלה.

סוג חשבון המשתמש	תיאור	מנהל יחיד או קבוצת מנהלים	מנוהל על ידי Google או מאוחד	תמיכה בסוגי מדיניות
חשבונות שירות	חשבון שמשמש עומס עבודה של מכונה ולא אדם.	גורם מרכזי יחיד	בניהול Google	סוגי המדיניות הבאים תומכים בחשבונות שירות: אישור דחייה
`allAuthenticatedUsers`	מזהה מיוחד שמייצג את כל חשבונות השירות ואת כל המשתמשים באינטרנט שאומתו באמצעות חשבון Google.	קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים: חשבונות Google חשבונות שירות זהויות של כוח עבודה זהויות של עומסי עבודה	בניהול Google	סוגי המדיניות הבאים תומכים ב-`allAuthenticatedUsers` עבור משאבים מסוימים: אישור סוגי המדיניות הבאים לא תומכים ב-`allAuthenticatedUsers`: דחייה
`allUsers`	מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.	קבוצת חשבונות משתמשים שיכולה להכיל את סוגי החשבונות הבאים: חשבונות Google חשבונות שירות זהויות של כוח עבודה זהויות של עומסי עבודה	שני הסוגים	סוגי המדיניות הבאים תומכים ב-`allUsers`: מותר (למשאבים מסוימים) דחייה
זהות יחידה במאגר זהויות של כוח עבודה	משתמש אנושי עם זהות שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של כוח עבודה.	גורם מרכזי יחיד	מאוחד	סוגי המדיניות הבאים תומכים בזהות יחידה במאגר זהויות של כוח עבודה: אישור דחייה
קבוצה של ישויות במאגר זהויות של כוח עבודה	קבוצה של משתמשים אנושיים עם זהויות שמנוהלות על ידי IdP חיצוני ומאוחדות באמצעות איחוד זהויות של כוח עבודה.	קבוצת חשבונות משתמש שמכילה זהויות של כוח העבודה.	מאוחד	סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של כוח עבודה: אישור דחייה
פרינציפל יחיד במאגר זהויות של עומסי עבודה	עומס עבודה (או משתמש במכונה) עם זהות שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה.	גורם מרכזי יחיד	מאוחד	סוגי המדיניות הבאים תומכים בישות מורשית יחידה במאגר זהויות של עומסי עבודה: אישור דחייה
קבוצה של ישויות (principals) במאגר זהויות של עומסי עבודה	קבוצה של עומסי עבודה (או משתמשי מכונה) עם זהויות שמנוהלות על ידי IdP חיצוני ומאוחדות באמצעות איחוד זהויות של עומסי עבודה.	קבוצת ישויות שמכילה זהויות של עומסי עבודה	מאוחד	סוגי המדיניות הבאים תומכים בקבוצת ישויות במאגר זהויות של עומסי עבודה: אישור דחייה
קבוצה של פודים של Google Kubernetes Engine	עומס עבודה (או משתמש מכונה) שפועל ב-GKE ומאוחד דרך GKE.	קבוצת ישויות (Principal) שיכולה להכיל זהות אחת או יותר של עומס עבודה מאוחד	מאוחד	סוגי המדיניות הבאים תומכים ב-pods של GKE: אישור סוגי המדיניות הבאים לא תומכים בתרמילים של GKE: דחייה
זהויות של סוכנים	זהות של עומס עבודה מבוסס-סוכן שעברה אימות חזק קשורה למחזור החיים של הסוכן.	גורם מרכזי יחיד	בניהול Google	סוגי המדיניות הבאים תומכים בזהויות של סוכנים: אישור דחייה
קבוצה של זהויות סוכנים	כל הזהויות של הנציגים במאגר הזהויות של הנציגים.	קבוצת חשבונות משתמש שמכילה זהויות של סוכנים.	בניהול Google	סוגי המדיניות הבאים תומכים בקבוצה של זהויות סוכנים: אישור דחייה

בקטעים הבאים מוסבר על סוגי הגורמים האלה בפירוט.

חשבונות שירות

חשבון שירות הוא חשבון של אפליקציה או של עומס עבודה ממוחשב (ולא של משתמש קצה). אפשר לחלק את חשבונות השירות לחשבונות שירות בניהול המשתמשים ולחשבונות שירות בניהול Google, שנקראים סוכני שירות:

כשמריצים קוד שמתארח ב- Cloud de Confiance, מציינים חשבון שירות שישמש כזהות של האפליקציה. אפשר ליצור כמה חשבונות שירות שמנוהלים על ידי המשתמש שצריך כדי לייצג את הרכיבים הלוגיים השונים באפליקציה.
חלק מהשירותים צריכים גישה למשאבים שלכם כדי שיוכלו לפעול בשמכם. Cloud de Confiance כדי לתת מענה לצורך הזה, Google יוצרת ומנהלת סוכני שירות.

בדוגמאות הבאות מוצגות דרכים לזיהוי חשבון שירות בסוגים שונים של כללי מדיניות:

מדיניות הרשאה: serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com
כללי מדיניות לדחייה: principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

מידע נוסף על חשבונות שירות זמין בדפים הבאים:

`allAuthenticatedUsers`

הערך allAuthenticatedUsers הוא מזהה מיוחד שמייצג את כל חשבונות השירות.

הסוג הזה של חשבון משתמש לא כולל זהויות מאוחדות שמנוהלות על ידי ספקי זהויות חיצוניים (IdPs). כדי לכלול זהויות מאוחדות, משתמשים באחת מהאפשרויות הבאות:

כדי לכלול משתמשים מכל השירותים של ספקי הזהויות: allUsers.
כדי לכלול משתמשים מספקי זהויות חיצוניים ספציפיים: במזהה של כל הזהויות במאגר הזהויות של כוח העבודה או בכל הזהויות במאגר הזהויות של עומסי העבודה.

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

`allUsers`

הערך allUsers הוא מזהה מיוחד שמייצג כל משתמש באינטרנט, כולל משתמשים מאומתים ולא מאומתים.

חלק מסוגי המשאבים לא תומכים בסוג כזה של חשבון משתמש.

בדוגמאות הבאות אפשר לראות איך המזהה allUsers עשוי להופיע בסוגים שונים של כללי מדיניות:

מדיניות הרשאות בסוגי משאבים נתמכים: allUsers
כללי מדיניות לדחייה: principalSet://goog/public:all

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של כוח עבודה

מאגר זהויות של כוח עבודה הוא קבוצה של זהויות משתמשים שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של כוח עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

זהות יחידה במאגר זהויות של כוח עבודה
כל הזהויות של כוח העבודה בקבוצה ספציפית
כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי
כל הזהויות במאגר זהויות של כוח עבודה

בדוגמאות הבאות אפשר לראות איך אפשר לזהות מאגרי זהויות כוח עבודה מאוחדים בסוגים שונים של מדיניות:

זהות אחת במדיניות ההרשאה: principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com
קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות מאוחדות במאגר זהויות של עומסי עבודה

מאגר זהויות של עומסי עבודה הוא קבוצה של זהויות של עומסי עבודה שמנוהלת על ידי IdP חיצוני ומאוחדת באמצעות איחוד זהויות של עומסי עבודה. אפשר להפנות לחשבונות משתמשים במאגרים האלה בדרכים הבאות:

זהות יחידה במאגר זהויות של עומסי עבודה
כל הזהויות של עומסי העבודה בקבוצה ספציפית
כל הזהויות של עומסי העבודה עם ערך מאפיין ספציפי
כל הזהויות במאגר זהויות של עומסי עבודה

בדוגמאות הבאות אפשר לראות איך לזהות מאגרי זהויות של כוח עבודה מאוחדים בסוגים שונים של מדיניות:

זהות אחת במדיניות ההרשאה: principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com
קבוצה של זהויות במדיניות דחייה: principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

GKE Pods

עומסי עבודה שפועלים ב-GKE משתמשים באיחוד זהויות של עומסי עבודה ל-GKE כדי לגשת לשירותי Cloud de Confiance . מידע נוסף על מזהי חשבונות משתמשים של GKE Pods זמין במאמר הפניה למשאבי Kubernetes בכללי מדיניות של IAM.

בדוגמה הבאה אפשר לראות איך מזהים את כל הפודים של GKE באשכול ספציפי במדיניות הרשאות:

principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

זהויות של נציגים

זהות של סוכן היא זהות שמנוהלת על ידי Google עבור עומסי עבודה של סוכנים. זהות הסוכן מאומתת ומקושרת למחזור החיים של הסוכן, וכך מתקבלת דרך מאובטחת יותר לניהול הגישה של הסוכן למשאבים של Cloud de Confiance , בהשוואה לשימוש בחשבונות שירות.

לכל סוכן מוקצית זהות סוכן באופן אוטומטי. אפשר להעניק או לדחות גישה למשאבים באמצעות כללי מדיניות של IAM. Cloud de Confiance

בדוגמה הבאה אפשר לראות איך מזהים את זהות הסוכן במדיניות הרשאות או במדיניות דחייה:

principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent

מידע נוסף על הפורמטים של מזהי ישויות מורשות מופיע במאמר מזהי ישויות מורשות.

המאמרים הבאים

מידע על סוגי המדיניות שנתמכים ב-IAM
הענקת תפקיד לישות מורשית בפרויקט, בתיקייה או בארגון ב-מנהל המשאבים