【发布时间】:2021-09-29 22:08:09
【问题描述】:
在有关 IAM 策略层次结构的 Google 文档中(见下图)。上面写着:
- 限制较少的父策略会覆盖限制较多的资源策略
这对我来说意味着如果父级允许编辑以下资源,但单个资源策略不允许编辑,则生成的策略是联合,这意味着限制较少的策略(允许编辑)将是结果一个。
在同一文档中,他们提供了一个示例:
- 在此层次结构中的较高级别实施的策略无法取消在较低级别授予的访问权限。例如,假设应用于“书架”项目的政策授予用户 Pat 修改 Cloud Storage 存储分区的权限。但组织层面的一项政策规定,Pat 只能查看 Cloud Storage 存储分区,而不能更改它们。更慷慨的政策生效。
这对我来说意味着如果父级不允许编辑,但下面的单个资源策略允许编辑,则父级仍然能够删除资源的编辑权限。对我来说,这听起来像是不那么慷慨的政策正在生效,作为一个交叉点,而不是一个工会。 你如何理解“更慷慨”?对我来说,更慷慨的政策是允许你做更多的事情,在这个例子中,它是授予编辑权限,这与它所写的相反。
这是否意味着限制较少的策略总是“获胜”,因为它将是策略的 UNION?
换句话说:
- 限制较少的父策略会覆盖限制较多的资源策略
- 限制性更强的父策略不会覆盖限制性较小的资源策略
这对你有意义吗?谢谢
【问题讨论】:
-
如果你颠倒逻辑,这将是有道理的。限制较少的策略意味着授予/允许更多权限。权限沿层次结构继承。更严格的策略意味着授予/允许的权限更少。在较高级别授予的权限会向下流向较低级别。在较高级别未授予的权限可以在较低级别授予。
-
这意味着限制较少的策略“获胜”,无论它在哪里被授予。这与文档中突出显示的黄色部分中的内容不同。您是说较低级别不能删除较高级别授予的权限,较高级别不能删除较低级别授予的权限。所以无论你在哪里授予权限,一旦你授予它,没有什么可以拒绝它,因为这将是一个更具限制性的政策。
-
1) 如果您忽略约束,是的。 2) IAM 授予权限,不拒绝(默认为拒绝)。 3) 约束可以防止授予权限和执行操作。 cloud.google.com/resource-manager/docs/organization-policy/… 4) 我不觉得文档令人困惑。这是一个复杂的主题,需要对 Google Cloud Security 有深入的了解。这不是您从观看一些在线课程或链接中挑选出来的东西。在花了几十年的安全性之后,我花了几年时间掌握 GCP 安全性。
标签: google-cloud-platform google-iam google-cloud-iam