建立範圍存取政策

本頁說明如何建立及委派範圍存取權政策。

事前準備

  • 請參閱範圍政策

  • 請參閱授予 VPC Service Controls 存取權

  • 請確認已將範圍存取權政策委派給委派管理員,且該管理員對繫結範圍政策的資料夾或專案具有 cloudasset.assets.searchAllResources 權限。委派管理員必須具備這項權限,才能搜尋所有 Trusted Cloud by S3NS 資源。

  • 瞭解如何設定服務範圍

建立範圍存取權政策

建立範圍存取政策,並將機構中資料夾和專案的管理權委派給其他使用者。建立範圍存取政策後,您就無法變更政策範圍。 如要變更現有政策的範圍,請刪除該政策,然後使用新範圍重新建立政策。

主控台

  1. 在 Trusted Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)

    前往 VPC Service Controls

  2. 如果系統提示您選取機構、資料夾或專案,請依提示選取。

  3. 在「VPC Service Controls」頁面中,選取範圍政策的父項存取政策。例如,您可以選取 default policy 機構政策。

  4. 按一下「管理政策」

  5. 在「管理 VPC Service Controls」頁面上,按一下「建立」

  6. 在「建立存取權政策」頁面的「存取權政策名稱」方塊中,輸入範圍存取權政策的名稱。

    範圍存取政策名稱的長度上限為 50 個字元,開頭須為英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (_)。範圍存取政策名稱會區分大小寫,且在機構的存取政策中必須是專屬名稱。

  7. 如要指定存取權政策的範圍,請按一下「範圍」

  8. 指定專案或資料夾做為存取權政策的範圍。

    • 如要選取要新增至存取權政策範圍的專案,請按照下列步驟操作:

      1. 在「範圍」窗格中,按一下「新增專案」

      2. 在「新增專案」對話方塊中,選取該專案的核取方塊。

      3. 按一下 [完成]。新增的專案會顯示在「範圍」部分。

    • 如要選取要新增至存取政策範圍的資料夾,請按照下列步驟操作:

      1. 在「範圍」窗格中,按一下「新增資料夾」

      2. 在「新增資料夾」對話方塊中,選取該資料夾的核取方塊。

      3. 按一下 [完成]。新增的資料夾會顯示在「範圍」部分。

  9. 如要委派範圍存取權政策的管理權,請按一下「主體」

  10. 如要指定主體和要繫結至存取權政策的角色,請按照下列步驟操作:

    1. 在「主體」窗格中,按一下「新增主體」

    2. 在「新增主體」對話方塊中,選取主體,例如使用者名稱或服務帳戶。

    3. 選取要與主體建立關聯的角色,例如編輯者和讀取角色。

    4. 按一下 [儲存]。新增的主體和角色會顯示在「主體」部分。

  11. 在「建立存取權政策」頁面中,按一下「建立存取權政策」

gcloud

如要建立範圍存取權政策,請使用 gcloud access-context-manager policies create 指令。

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

其中:

  • ORGANIZATION_ID 是您機構的數字 ID。

  • POLICY_TITLE 是指政策的可理解文字標題。政策標題的長度上限為 50 個字元,開頭須為英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (_)。政策標題會區分大小寫,且在機構的存取權政策中必須是唯一的。

  • SCOPE 是適用這項政策的資料夾或專案。您只能指定一個資料夾或專案做為範圍,且該範圍必須存在於指定的機構內。如未指定範圍,這項政策會套用至整個機構。

畫面會顯示以下輸出結果 (其中 POLICY_NAME 是 Trusted Cloud by S3NS指派給政策的唯一數字 ID):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

如要透過繫結主體和角色與範圍存取權政策來委派管理權,請使用 add-iam-policy-binding 指令。

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

其中:

  • POLICY 是政策的 ID 或完整 ID。

  • PRINCIPAL 是您要新增繫結的主體。請以下列格式指定:user|group|serviceAccount:emaildomain:domain

  • ROLE 是要指派給主體的角色名稱。角色名稱是預先定義角色的完整路徑,例如 roles/accesscontextmanager.policyEditor,或是自訂角色的角色 ID,例如 organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor

API

如要建立範圍存取權政策,請按照下列步驟操作:

  1. 建立要求主體。

    {
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}

    其中:

    • ORGANIZATION_ID 是您機構的數字 ID。

    • SCOPE 是適用這項政策的資料夾或專案。

    • POLICY_TITLE 是指政策的可理解文字標題。政策標題的長度上限為 50 個字元,開頭須為英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (_)。政策標題會區分大小寫,且在機構的存取權政策中必須是唯一的。

  2. 以呼叫 accessPolicies.create 的方式來建立存取權政策。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

回應主體

如果成功,呼叫的回應主體會包含 Operation 資源,其中提供有關 POST 作業的詳細資料。

如要委派範圍存取權政策的管理權,請按照下列步驟操作:

  1. 建立要求主體。

    {
 "policy": "IAM_POLICY",
}

    其中:

    • IAM_POLICY 是繫結的集合。繫結可將一或多個成員或主體與單一角色連結。主體可以是使用者帳戶、服務帳戶、Google 群組和網域。角色是具名權限清單,每個角色可以是 IAM 預先定義的角色,也可以是使用者建立的自訂角色。

  2. 呼叫 accessPolicies.setIamPolicy 委派存取權政策。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

回應主體

如果成功,回應主體會包含 policy 的執行個體。

後續步驟