As políticas com âmbito são políticas de acesso com âmbito em pastas ou projetos específicos, juntamente com uma política de acesso que pode aplicar a toda a organização. Pode usar políticas com âmbito para delegar a administração dos perímetros dos VPC Service Controls e os níveis de acesso aos administradores ao nível da pasta e do projeto.
As organizações só podem ter uma política de acesso ao nível organizacional e pode aplicar a política de acesso ao nível organizacional a qualquer pasta ou projeto na sua organização.
Pode haver instâncias em que quer delegar a gestão de uma política para um subconjunto dos recursos de uma organização, como uma pasta, a um administrador delegado. Pode criar políticas de acesso com âmbito para pastas ou projetos específicos, juntamente com uma política de acesso que pode ser aplicada a toda a organização. Para delegar a administração de perímetros e níveis de acesso dos VPC Service Controls a administradores ao nível da pasta e do projeto, pode usar políticas com âmbito.
Quando delega a administração de uma política no âmbito, os administradores delegados podem modificar ou ler essa política específica e não a política do Gestor de acesso sensível ao contexto da organização. As políticas com âmbito limitam os recursos que podem ser restritos num perímetro dos VPC Service Controls e a visibilidade de quaisquer níveis de acesso.
Gestão de políticas com âmbito
Como administrador do Gestor de acesso sensível ao contexto ao nível da organização, pode criar, modificar e eliminar políticas com âmbito. Pode especificar associações de gestão de identidade e acesso (IAM) diretamente na política do Gestor de acesso sensível ao contexto e permitir uma delegação adicional da administração da política do Gestor de acesso sensível ao contexto a outros utilizadores na organização. Um administrador de políticas com âmbito pode configurar perímetros de serviço e níveis de acesso em políticas. No entanto, um administrador de políticas com âmbito não pode criar uma nova política nem alterar o âmbito da política para aplicar a outra pasta ou projeto.
Segue-se uma sequência de como os administradores gerem as políticas com âmbito:
O administrador ao nível da organização cria uma nova política de acesso com um campo de âmbito que faz referência a uma pasta ou um projeto específico.
O administrador ao nível da organização atribui autorizações IAM ao administrador delegado diretamente no recurso de política de acesso. O administrador delegado tem agora autorizações na política com âmbito, mas não tem autorizações em nenhuma outra política, a menos que o administrador ao nível da organização as atribua explicitamente ao administrador delegado.
O administrador delegado pode agora editar a política para configurar os níveis de acesso e os perímetros de serviço. O administrador delegado também pode conceder autorizações da IAM nessa política a qualquer outro utilizador.
Quando elimina uma pasta ou um projeto, a política que tem a pasta ou o projeto eliminado como âmbito também é eliminada. Além disso, se mover um projeto para outro nó na hierarquia da organização, a política com âmbito no projeto não é modificada automaticamente. Tem de eliminar a política associada ao projeto e, de seguida, recriar a política e especificar o âmbito.
Hierarquia de políticas com âmbito
O recurso de organização é o nó de raiz da Google Cloud hierarquia de recursos e todos os recursos que pertencem a uma organização existem como filhos do nó de organização. As pastas são um mecanismo de agrupamento além dos projetos. As pastas e os projetos existem como nós subordinados do recurso da organização.
O diagrama seguinte mostra um exemplo de organização que contém pastas para cada departamento, e as pastas contêm projetos de desenvolvimento, teste e produção.
Na organização de exemplo, as seguintes restrições aplicam-se a um perímetro de serviço ou a um nível de acesso numa política com âmbito:
Os perímetros de serviço numa política com âmbito só podem restringir recursos que existam no âmbito dessa política. Por exemplo, um perímetro de serviço numa política com âmbito na pasta de engenharia pode proteger os projetos example-dev, example-prod e example-test, porque os projetos estão na pasta de engenharia.
Se a política com âmbito de aplicação se aplicar à pasta de vendas, os perímetros de serviço nessa política não podem proteger nenhum dos projetos example-dev, example-prod e example-test. No entanto, o perímetro de serviço na política com âmbito pode permitir o acesso a projetos noutras pastas através de regras de entrada e saída.
Os níveis de acesso numa política com âmbito são visíveis apenas no âmbito da política. Se criar um nível de acesso na política com âmbito na pasta de engenharia, apenas os perímetros de serviço e os níveis de acesso na pasta de engenharia podem usá-lo. Os perímetros de serviço e os níveis de acesso noutras pastas não podem usar o nível de acesso definido na pasta de engenharia.
Uma localização, como uma pasta, na hierarquia de recursos da organização example.com, pode ter várias políticas que contêm um nível de acesso ou um perímetro de serviço. Quando existem várias políticas, um pedido de recursos na organização example.com é avaliado com base nas seguintes regras:
Uma política só pode conter um âmbito, como uma pasta, mas pode criar uma política para cada nível de uma organização. Por exemplo, se o âmbito da política 1 for a pasta de engenharia, não pode definir a pasta de engenharia como o âmbito de qualquer outra política. Pode definir outra política com o âmbito definido como o filho da pasta de engenharia, como example-prod.
Se o âmbito de uma política se aplicar a um projeto ou a um elemento principal do projeto, pode adicionar o projeto à política. No entanto, um projeto só pode ser membro de um perímetro de serviço em todas as políticas. Por exemplo, uma política com o âmbito definido para a organização example.com pode definir um perímetro de serviço com example-dev. Uma política com o âmbito definido para a pasta de engenharia ou o âmbito definido para o projeto example-dev também pode adicionar o projeto example-dev a um perímetro definido em qualquer um deles. No entanto, apenas uma dessas três políticas pode conter este projeto.