【问题标题】:Google Cloud Platform - IAM policies inheritanceGoogle Cloud Platform - IAM 政策继承
【发布时间】:2021-09-29 22:08:09
【问题描述】:

在有关 IAM 策略层次结构的 Google 文档中(见下图)。上面写着:

  • 限制较少的父策略会覆盖限制较多的资源策略

这对我来说意味着如果父级允许编辑以下资源,但单个资源策略不允许编辑,则生成的策略是联合,这意味着限制较少的策略(允许编辑)将是结果一个。

在同一文档中,他们提供了一个示例:

  • 在此层次结构中的较高级别实施的策略无法取消在较低级别授予的访问权限。例如,假设应用于“书架”项目的政策授予用户 Pat 修改 Cloud Storage 存储分区的权限。但组织层面的一项政策规定,Pat 只能查看 Cloud Storage 存储分区,而不能更改它们。更慷慨的政策生效。

这对我来说意味着如果父级不允许编辑,但下面的单个资源策略允许编辑,则父级仍然能够删除资源的编辑权限。对我来说,这听起来像是不那么慷慨的政策正在生效,作为一个交叉点,而不是一个工会。 你如何理解“更慷慨”?对我来说,更慷慨的政策是允许你做更多的事情,在这个例子中,它是授予编辑权限,这与它所写的相反。

这是否意味着限制较少的策略总是“获胜”,因为它将是策略的 UNION?

换句话说:

  • 限制较少的父策略会覆盖限制较多的资源策略
  • 限制性更强的父策略不会覆盖限制性较小的资源策略

这对你有意义吗?谢谢

【问题讨论】:

  • 如果你颠倒逻辑,这将是有道理的。限制较少的策略意味着授予/允许更多权限。权限沿层次结构继承。更严格的策略意味着授予/允许的权限更少。在较高级别授予的权限会向下流向较低级别。在较高级别未授予的权限可以在较低级别授予。
  • 这意味着限制较少的策略“获胜”,无论它在哪里被授予。这与文档中突出显示的黄色部分中的内容不同。您是说较低级别不能删除较高级别授予的权限,较高级别不能删除较低级别授予的权限。所以无论你在哪里授予权限,一旦你授予它,没有什么可以拒绝它,因为这将是一个更具限制性的政策。
  • 1) 如果您忽略约束,是的。 2) IAM 授予权限,不拒绝(默认为拒绝)。 3) 约束可以防止授予权限和执行操作。 cloud.google.com/resource-manager/docs/organization-policy/… 4) 我不觉得文档令人困惑。这是一个复杂的主题,需要对 Google Cloud Security 有深入的了解。这不是您从观看一些在线课程或链接中挑选出来的东西。在花了几十年的安全性之后,我花了几年时间掌握 GCP 安全性。

标签: google-cloud-platform google-iam google-cloud-iam


【解决方案1】:

这只是意味着所有的政策都是严格自上而下的结构,而限制性更强的不一定是继承的,其余的都是(例外是当在较低级别有进一步的政策时,这可能会定义更多和更少限制甚至意味着)。否则,这将不允许层次结构中的较低级别具有自定义策略。

【讨论】:

  • 较低级别完全可以拥有自定义策略并授予较高级别未授予的权限。我认为文档令人困惑,它应该只是说您可以授予任何级别的权限,并且一旦授予权限,它就不能被不同级别的另一个策略删除。换句话说,如果您的最高管理员有编辑权限,随机项目所有者无法决定管理员不再拥有权限并应用更严格的政策
猜你喜欢
  • 2020-12-14
  • 2019-06-11
  • 1970-01-01
  • 2020-05-24
  • 2020-03-30
  • 2019-05-16
  • 1970-01-01
  • 2021-09-23
  • 1970-01-01
相关资源
最近更新 更多