IAM 主账号

在 Identity and Access Management (IAM) 中,您可以控制主账号的访问权限。主账号代表已向 Trusted Cloud进行身份验证的一个或多个身份。

在政策中使用主账号

如需在政策中使用主账号,请执行以下操作:

  1. 配置 Trusted Cloud 可识别的身份。配置身份是指创建 Trusted Cloud 可识别的身份的过程。您可以为用户和工作负载配置身份。

    如需了解如何配置身份,请参阅以下内容:

  2. 确定您将使用的主账号标识符。主账号标识符是指您在政策中引用主账号的方式。此标识符可以引用单一身份或一组身份。

    您为主账号标识符使用的格式取决于以下因素:

    • 主账号类型
    • 您要将主账号添加到其中的政策类型

    如需查看每种政策中每种主账号类型的主账号标识符格式,请参阅主账号标识符

    了解标识符的格式后,您可以根据主账号的属性(例如主账号的电子邮件地址)确定主账号的唯一标识符。

  3. 在政策中添加主账号的标识符。按照政策的格式,将您的主账号添加到您的政策中。

    如需了解 IAM 中的不同类型的政策,请参阅政策类型

对主账号类型的支持

每种 IAM 政策类型都支持 IAM 支持的一部分主账号类型。如需查看每种政策类型支持的主账号类型,请参阅主账号标识符

主账号类型

IAM 支持以下类型的主账号:

以下部分将详细介绍这些主账号类型。

服务账号

服务账号是针对应用或计算工作负载(而非单个最终用户)的账号。当运行托管在Trusted Cloud上的代码时,您需要指定一个服务账号作为应用的身份。您可以根据需要创建任意多个服务账号,以代表应用的不同逻辑组件。

如需详细了解服务账号,请参阅服务账号概览

allAuthenticatedUsers

allAuthenticatedUsers 是一个特殊的标识符,表示所有服务账号。

此主账号类型不包含由外部身份提供方 (IdP) 管理的联合身份。如需添加联合身份,请使用以下选项之一:

某些资源类型不支持此主账号类型。

allUsers

allUsers 是一个特殊的标识符,表示互联网上的任何用户,包括经过身份验证和未经过身份验证的用户。

某些资源类型不支持此主账号类型。

员工身份池中的身份

员工身份池中的联合身份是指由外部 IdP 管理并使用员工身份联合进行联合的用户身份。您可以在员工身份池中使用特定身份,也可以使用特定属性在员工身份池中指定一组用户身份。

工作负载身份池中的身份

工作负载身份池中的联合身份是指由外部 IdP 管理且使用工作负载身份联合进行联合的工作负载身份。您可以在工作负载身份池中使用特定的工作负载身份,也可以使用某些属性在工作负载身份池中指定一组工作负载身份。

GKE Pod

在 GKE 上运行的工作负载使用 Workload Identity Federation for GKE 来访问 Trusted Cloud 服务。如需详细了解 GKE Pod 的主账号标识符,请参阅在 IAM 政策中引用 Kubernetes 资源

后续步骤