在 Identity and Access Management (IAM) 中,您可以控制主账号的访问权限。主账号代表已向 Trusted Cloud进行身份验证的一个或多个身份。
在政策中使用主账号
如需在政策中使用主账号,请执行以下操作:
配置 Trusted Cloud 可识别的身份。配置身份是指创建 Trusted Cloud 可识别的身份的过程。您可以为用户和工作负载配置身份。
如需了解如何配置身份,请参阅以下内容:
确定您将使用的主账号标识符。主账号标识符是指您在政策中引用主账号的方式。此标识符可以引用单一身份或一组身份。
您为主账号标识符使用的格式取决于以下因素:
- 主账号类型
- 您要将主账号添加到其中的政策类型
如需查看每种政策中每种主账号类型的主账号标识符格式,请参阅主账号标识符。
了解标识符的格式后,您可以根据主账号的属性(例如主账号的电子邮件地址)确定主账号的唯一标识符。
在政策中添加主账号的标识符。按照政策的格式,将您的主账号添加到您的政策中。
如需了解 IAM 中的不同类型的政策,请参阅政策类型。
对主账号类型的支持
每种 IAM 政策类型都支持 IAM 支持的一部分主账号类型。如需查看每种政策类型支持的主账号类型,请参阅主账号标识符。
主账号类型
IAM 支持以下类型的主账号:
- 服务账号
allAuthenticatedUsers
allUsers
- 员工身份池中的一个或多个联合身份
- 工作负载身份池中的一个或多个联合身份
- 一组 Google Kubernetes Engine Pod
以下部分将详细介绍这些主账号类型。
服务账号
服务账号是针对应用或计算工作负载(而非单个最终用户)的账号。当运行托管在Trusted Cloud上的代码时,您需要指定一个服务账号作为应用的身份。您可以根据需要创建任意多个服务账号,以代表应用的不同逻辑组件。
如需详细了解服务账号,请参阅服务账号概览。
allAuthenticatedUsers
值 allAuthenticatedUsers
是一个特殊的标识符,表示所有服务账号。
此主账号类型不包含由外部身份提供方 (IdP) 管理的联合身份。如需添加联合身份,请使用以下选项之一:
- 要包含来自所有 IdP 的用户,请使用
allUsers
。 - 要包含来自特定外部 IdP 的用户,请使用员工身份池中的所有身份或工作负载身份池中的所有身份的标识符。
某些资源类型不支持此主账号类型。
allUsers
值 allUsers
是一个特殊的标识符,表示互联网上的任何用户,包括经过身份验证和未经过身份验证的用户。
某些资源类型不支持此主账号类型。
员工身份池中的身份
员工身份池中的联合身份是指由外部 IdP 管理并使用员工身份联合进行联合的用户身份。您可以在员工身份池中使用特定身份,也可以使用特定属性在员工身份池中指定一组用户身份。
工作负载身份池中的身份
工作负载身份池中的联合身份是指由外部 IdP 管理且使用工作负载身份联合进行联合的工作负载身份。您可以在工作负载身份池中使用特定的工作负载身份,也可以使用某些属性在工作负载身份池中指定一组工作负载身份。
GKE Pod
在 GKE 上运行的工作负载使用 Workload Identity Federation for GKE 来访问 Trusted Cloud 服务。如需详细了解 GKE Pod 的主账号标识符,请参阅在 IAM 政策中引用 Kubernetes 资源。