IAM 主體

在 Identity and Access Management (IAM) 中，您可以控管「主體」的存取權。主體代表已向 Trusted Cloud驗證的一或多個身分。

在政策中使用主體

如要在政策中使用主體，請按照下列步驟操作：

1. 設定可辨識的身分。 Trusted Cloud 設定身分是建立 Trusted Cloud 可辨識身分的程序。您可以為使用者和工作負載設定身分。

   如要瞭解如何設定身分，請參閱下列文章：

   • 如要瞭解如何為使用者設定身分，請參閱「使用者身分」。
   • 如要瞭解如何為工作負載設定身分，請參閱「工作負載的身分」。

2. 判斷要使用的主要 ID。主體 ID 是您在政策中參照主體的方式。這個 ID 可以指單一身分或一組身分。

   您使用的主體 ID 格式取決於下列事項：

   • 主體類型
   • 要將主體納入的政策類型

   如要查看每種政策類型中，各類型主體的原則 ID 格式，請參閱「主體 ID」。

   瞭解 ID 格式後，您就能根據主體的屬性 (例如主體的電子郵件地址)，判斷主體的專屬 ID。

3. 在政策中加入主體的 ID。按照政策格式，將主體新增至政策。

   如要瞭解身分與存取權管理中的不同政策類型，請參閱政策類型。

支援主體類型

每種 IAM 政策類型都支援 IAM 支援的部分主體類型。如要查看各項政策類型支援的主體類型，請參閱「主體 ID」。

主體類型

IAM 支援下列類型的主體：

• 服務帳戶
• allAuthenticatedUsers
• allUsers
• 員工身分集區中的一或多個聯合身分
• 工作負載身分池中的一或多個聯合身分
• 一組 Google Kubernetes Engine Pod

下列各節將詳細說明這些主要類型。

服務帳戶

服務帳戶是應用程式或運算工作負載的帳戶，而非個別使用者的帳戶。執行Trusted Cloud上託管的程式碼時，您可以指定要使用的服務帳戶做為應用程式的身分。您可以依您所需建立多個服務帳戶，來代表應用程式的不同邏輯元件。

如要進一步瞭解服務帳戶，請參閱服務帳戶總覽。

allAuthenticatedUsers

allAuthenticatedUsers 值是一種特殊身分識別，代表所有服務帳戶。

這類主體不包括聯合身分，這類身分是由外部身分識別提供者 (IdP) 管理。如要納入聯合身分，請使用下列其中一種做法：

• 如要納入所有 IdP 的使用者，請使用 allUsers。
• 如要納入特定外部 IdP 的使用者，請使用工作團隊身分集區中的所有身分或工作負載身分集區中的所有身分的 ID。

部分資源類型不支援這類主體。

allUsers

allUsers 值是一個特殊識別碼，代表網際網路上的任何使用者，包括已驗證和未驗證的使用者。

部分資源類型不支援這類主體。

員工身分集區中的聯合身分

員工身分集區中的聯合身分是由外部 IdP 管理的使用者身分，並透過員工身分聯盟進行聯合。您可以使用工作團隊身分集區中的特定身分，也可以使用特定屬性，指定工作團隊身分集區中的一組使用者身分。

Workload Identity Pool 中的聯合身分

工作負載身分集區中的聯合身分是由外部 IdP 管理，並透過工作負載身分聯盟聯合。您可以在工作負載身分集區中使用特定工作負載身分，也可以使用特定屬性，在工作負載身分集區中指定一組工作負載身分。

GKE Pod

在 GKE 上執行的工作負載會使用 Workload Identity Federation for GKE 存取 Trusted Cloud 服務。如要進一步瞭解 GKE Pod 的主體 ID，請參閱「在 IAM 政策中參照 Kubernetes 資源」。

後續步驟

• 瞭解 IAM 支援的政策類型
• 在 Resource Manager 專案、資料夾或機構中授予主體角色