IAM-Richtlinien konfigurieren

Auf dieser Seite wird beschrieben, wie Sie IAM-Richtlinien (Identity and Access Management) konfigurieren mit deren Hilfe Mitglieder Certificate Authority Service-Ressourcen erstellen und verwalten können. Weitere Informationen Informationen zu IAM finden Sie in der Übersicht zu IAM.

Allgemeine IAM-Richtlinien

In CA Service gewähren Sie Nutzern oder Nutzern Dienstkonten zum Erstellen und Verwalten von CA Service-Ressourcen. Ich können diese Rollenbindungen auf den folgenden Ebenen hinzufügen:

  • Zertifizierungsstellenpoolebene zur Verwaltung des Zugriffs für einen bestimmten Zertifizierungsstellenpool und für die Zertifizierungsstellen in diesem Zertifizierungsstellenpool.
  • Projektebene oder Organisationsebene, um Zugriff auf alle CA-Pools in diesem Bereich zu gewähren.

Rollen werden übernommen, wenn sie auf einer höheren Ressourcenebene gewährt werden. Beispiel: Ein Nutzer dem die Rolle „Auditor“ (roles/privateca.auditor) auf Projektebene zugewiesen ist alle Ressourcen im Projekt ansehen. IAM-Richtlinien, die für einen CA-Pool (Certificate Authority) festgelegt sind, werden von allen CAs in diesem CA-Pool übernommen.

IAM-Rollen können nicht für Zertifikate und CA-Ressourcen gewährt werden.

Bedingte IAM-Richtlinien

Wenn Sie einen freigegebenen CA-Pool haben, der von mehreren Nutzern verwendet wird, verschiedene Arten von Zertifikaten anfordern dürfen, können Sie IAM-Bedingungen zum Erzwingen des attributbasierten Zugriffs für bestimmte Vorgänge in einem Zertifizierungsstellenpool.

Mit bedingten IAM-Rollenbindungen können Sie Hauptkonten Zugriff gewähren wenn bestimmte Bedingungen erfüllt sind. Wenn zum Beispiel der Parameter Zertifikatsanfragesteller Rolle ist an den Nutzer alice@example.com in einem Zertifizierungsstellenpool mit der Bedingung gebunden, die angeforderten DNS-SANs eine Teilmenge von ['alice@example.com', 'bob@example.com'] sind, kann dieser Nutzer nur dann Zertifikate aus demselben CA-Pool anfordern, Der angeforderte SAN ist einer dieser beiden zulässigen Werte. Sie können Bedingungen für IAM festlegen Bindungen mit CEL-Ausdrücken (Common Expression Language) Diese Bedingungen können können Sie die Art der Zertifikate, die ein Nutzer anfordern kann, weiter einschränken. Informationen zur Verwendung von CEL-Ausdrücken für IAM-Bedingungen finden Sie unter Common Expression Language (CEL)-Dialekt für IAM-Richtlinien.

Hinweise

  • API aktivieren.
  • Erstellen Sie eine Zertifizierungsstelle und einen Zertifizierungsstellenpool, indem Sie der Anleitung in einer der Kurzanleitungen folgen.
  • IAM verfügbaren Rollen für Certificate Authority Service.

IAM-Richtlinienbindungen auf Projektebene konfigurieren

In den folgenden Szenarien wird beschrieben, wie Sie Nutzern Zugriff auf CA Service gewähren können auf Projektebene zu ermitteln.

Ressourcen verwalten

Ein CA Service Admin (roles/privateca.admin) hat die Berechtigungen zum Verwalten aller CA Service-Ressourcen und zum Festlegen von IAM-Richtlinien für CA-Pools und Zertifikatvorlagen.

So weisen Sie die Rolle „CA Service Admin“ (roles/privateca.admin) einem auf Projektebene ausführen, befolgen Sie die folgenden Anweisungen:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein oder eine andere Kennung.

  5. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Admin aus.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennung des Projekts.
  • MEMBER: der Nutzer oder das Dienstkonto, für den Sie die Rolle „CA Service Admin“ zuweisen möchten.

Das Flag --role übernimmt die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.

Ressourcen erstellen

Ein CA Service Operation Manager (roles/privateca.caManager) kann Folgendes erstellen: CA-Pools und Zertifizierungsstellen aktualisieren und löschen. Diese Rolle ermöglicht dem Aufrufer auch, das Zertifikate, die von den Zertifizierungsstellen im CA-Pool ausgestellt wurden.

CA Service Operation Manager (roles/privateca.caManager) zuweisen Rolle auf Projektebene zuweisen, folgen Sie dieser Anleitung:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein oder eine andere Kennung.

  5. Wählen Sie aus der Liste Rolle auswählen die Rolle CA Service Operation Manager aus. Rolle.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennzeichnung des Projekts.
  • MEMBER: Nutzer oder Dienstkonto, dem Sie die IAM-Rolle hinzufügen möchten.

Für das Flag --role wird die IAM-Rolle verwendet, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud projects add-iam-policy-binding finden Sie unter gcloud projects add-iam-policy-binding.

Optional muss der Aufrufer auch Administrator für den Cloud KMS-Schlüssel sein, wenn eine Zertifizierungsstelle mit einem vorhandenen Cloud KMS-Schlüssel erstellt wird.

Der Cloud KMS-Administrator (roles/cloudkms.admin) hat vollständigen Zugriff auf alle Cloud KMS-Ressourcen mit Ausnahme der Verschlüsselungs- und Entschlüsselungsvorgänge. Weitere Informationen zu IAM-Rollen für Cloud KMS finden Sie unter Cloud KMS: Berechtigungen und Rollen.

Um einem Nutzer die Rolle „Cloud KMS-Administrator“ (roles/cloudkms.admin) zuzuweisen, verwenden Sie die folgende Anleitung:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Key Management Service auf.

    Zu Cloud Key Management Service

  2. Klicken Sie unter Schlüsselbunde auf den Schlüsselbund, der den Signaturschlüssel der Zertifizierungsstelle enthält.

  3. Klicken Sie auf den Schlüssel, der der Signaturschlüssel der Zertifizierungsstelle ist.

  4. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  5. Klicken Sie auf Hauptkonto hinzufügen.

  6. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein oder eine andere Kennung.

  7. Wählen Sie in der Liste Rolle auswählen die Rolle Cloud KMS-Administrator aus.

  8. Klicken Sie auf Speichern.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ersetzen Sie Folgendes:

  • KEY: die eindeutige ID des Schlüssels.
  • KEYRING: der Schlüsselbund, der den Schlüssel enthält. Weitere Informationen zu Schlüsselanhängern finden Sie unter Schlüsselanhänger.
  • MEMBER: der Nutzer oder das Dienstkonto, für den Sie die IAM-Bindung hinzufügen möchten.

Für das Flag --role wird die IAM-Rolle verwendet, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud kms keys add-iam-policy-binding Siehe gcloud kms keys add-iam-policy-binding.

Ressourcen prüfen

Ein CA Service-Auditor (roles/privateca.auditor) hat Lesezugriff auf alle Ressourcen im CA-Dienst. Wenn die Berechtigung für einen bestimmten Zertifizierungsstellenpool gewährt wird, gewährt Lesezugriff auf den Zertifizierungsstellenpool. Befindet sich der CA-Pool auf der Enterprise-Stufe, kann ein Nutzer mit dieser Rolle auch Zertifikate und Zertifikatssperrlisten anzeigen, die von den Zertifizierungsstellen im Zertifizierungsstellenpool. Weisen Sie diese Rolle Personen zu, die für die Validierung verantwortlich sind. Sicherheit und Betrieb des CA-Pools.

So weisen Sie CA Service Auditor (roles/privateca.auditor) zu Rolle auf Projektebene zuweisen, folgen Sie dieser Anleitung:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Identitäts- und Zugriffsverwaltung aufrufen

  2. Wählen Sie das Projekt aus.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein oder eine andere Kennung.

  5. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Auditor aus.

  6. Klicken Sie auf Speichern.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ersetzen Sie Folgendes:

  • PROJECT_ID: die eindeutige Kennung des Projekts.
  • MEMBER: die eindeutige Kennung des Nutzers, an den sich der Nutzer richtet. Sie den CA Service Auditor (roles/privateca.auditor) Rolle.

Das Flag --role übernimmt die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.

IAM-Richtlinienbindungen auf Ressourcenebene konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie IAM-Richtlinienbindungen konfigurieren können für eine bestimmte Ressource in CA Service.

CA-Pools verwalten

Die Rolle „CA Service Admin“ (roles/privateca.admin) können Sie hier gewähren: Ressourcenebene, um einen bestimmten CA-Pool oder eine Zertifikatsvorlage zu verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA-Pool-Manager und wählen Sie den CA-Pool aus, für den Sie Berechtigungen erteilen möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Gehen Sie dann so vor: Klicken Sie auf Berechtigungen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie aus der Liste Rolle auswählen die Rolle CA Service Admin aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource gewährt.

gcloud

Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie festzulegen:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennung des Zertifizierungsstellenpools für in dem Sie die IAM-Richtlinie festlegen möchten.
  • LOCATION: Der Standort des Zertifizierungsstellenpools. Für die vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, für den Sie die IAM-Rolle zuweisen möchten.

Das Flag --role übernimmt die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

Weisen Sie mit denselben Schritten die Rolle CA Service Admin für ein Zertifikatsvorlage.

Sie können auch CA Service Operation Manager (roles/privateca.caManager) zuweisen für einen bestimmten Zertifizierungsstellenpool. Mit dieser Rolle kann der Aufrufer Zertifikate widerrufen, die von Zertifizierungsstellen in diesem CA-Pool ausgestellt wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA-Poolmanager und wählen Sie den CA-Pool aus, für den Sie Berechtigungen gewähren möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Gehen Sie dann so vor: Klicken Sie auf Berechtigungen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse oder die andere Kennung des Hauptkontos ein.

  6. Wählen Sie in der Liste Rolle auswählen die Rolle CA Service Operation Manager aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource gewährt zu der die Zertifizierungsstelle gehört.

gcloud

Führen Sie den folgenden gcloud-Befehl aus, um die Rolle für einen bestimmten Zertifizierungsstellenpool zu gewähren:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennzeichnung des Zertifizierungsstellenpools.
  • LOCATION: Der Standort des Zertifizierungsstellenpools. Für die vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: Die eindeutige Kennung des Nutzers, dem Sie die Rolle „CA Service Operation Manager“ (roles/privateca.caManager) zuweisen möchten.

Das Flag --role übernimmt die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca Pools add-iam-policy-binding.

Zertifikate erstellen

Weisen Sie Nutzern die Rolle „Zertifikatverwalter für CA Service“ (roles/privateca.certificateManager) zu, damit sie Anfragen zur Zertifikatsausstellung an einen CA-Pool senden können. Diese Rolle hat auch gewährt Lesezugriff auf CA Service-Ressourcen. So lassen Sie nur das Erstellen von Zertifikaten zu ohne Lesezugriff, dem CA Service-Zertifikatsanfragesteller (roles/privateca.certificateRequester) gewähren Rolle. Weitere Informationen zu IAM-Rollen für CA Service finden Sie unter Zugriffssteuerung mit IAM

So gewähren Sie dem Nutzer Zugriff zum Erstellen von Zertifikaten für eine bestimmte Zertifizierungsstelle:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf CA-Pool-Manager und wählen Sie den Zertifizierungsstellenpool aus, für den Sie Berechtigungen erteilen möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Gehen Sie dann so vor: Klicken Sie auf Berechtigungen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder ein anderes Kennung.

  6. Wählen Sie aus der Liste Rolle auswählen die Rolle CA Service Certificate Manager aus.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die ausgewählte Rolle für die CA-Poolressource gewährt zu der die Zertifizierungsstelle gehört.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ersetzen Sie Folgendes:

  • POOL_ID: die eindeutige Kennzeichnung des Zertifizierungsstellenpools.
  • LOCATION: Der Standort des Zertifizierungsstellenpools. Für die vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: die eindeutige Kennung des Nutzers, an den sich der Nutzer richtet. dem Zertifikatmanager von CA Service (roles/privateca.certificateManager) Rolle.

Das Flag --role übernimmt die IAM-Rolle, die Sie dem Mitglied zuweisen möchten.

IAM-Richtlinienbindungen zu einer Zertifikatsvorlage hinzufügen

Folgen Sie der folgenden Anleitung, um einer bestimmten Zertifikatsvorlage eine IAM-Richtlinie hinzuzufügen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab Vorlagenmanager und wählen Sie die Zertifikatsvorlage aus. für die Sie Berechtigungen erteilen möchten.

  3. Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Klicken Sie dann auf Berechtigungen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie in das Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos oder ein anderes Kennung.

  6. Wählen Sie aus der Drop-down-Liste Rolle auswählen eine Rolle aus, die gewährt werden soll.

  7. Klicken Sie auf Speichern.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: Speicherort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, für den Sie die IAM-Richtlinienbindung hinzufügen möchten.
  • ROLE: Die Rolle, die Sie dem Mitglied zuweisen möchten.

Weitere Informationen zum Befehl gcloud privateca templates add-iam-policy-binding finden Sie unter gcloud privateca template add-iam-policy-binding.

Weitere Informationen zum Ändern der IAM-Rolle eines Nutzers finden Sie unter Zugriff gewähren.

IAM-Richtlinienbindungen entfernen

Mit dem Befehl remove-iam-policy-binding der Google Cloud CLI können Sie eine vorhandene IAM-Richtlinienbindung entfernen.

Verwenden Sie den folgenden gcloud-Befehl, um eine IAM-Richtlinie für einen bestimmten CA-Pool zu entfernen:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: Der Standort des Zertifizierungsstellenpools. Für die vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: der Nutzer oder das Dienstkonto, für den Sie die IAM-Richtlinienbindung entfernen möchten.
  • ROLE: die Rolle, die Sie für das Mitglied entfernen möchten.

Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding finden Sie unter gcloud privateca cards remove-iam-policy-binding.

Verwenden Sie den folgenden gcloud-Befehl, um eine IAM-Richtlinie aus einer bestimmten Zertifikatsvorlage zu entfernen:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ersetzen Sie Folgendes:

  • LOCATION: Speicherort der Zertifikatsvorlage. Eine vollständige Liste der Standorte finden Sie unter Standorte.
  • MEMBER: Der Nutzer oder das Dienstkonto, für das Sie die IAM-Richtlinienbindung entfernen möchten.
  • ROLE: die Rolle, die Sie für das Mitglied entfernen möchten.

Weitere Informationen zum Befehl gcloud privateca templates remove-iam-policy-binding Siehe gcloud privateca-Vorlagen remove-iam-policy-binding.

Weitere Informationen zum Entfernen der IAM-Rolle eines Nutzers finden Sie unter Zugriff widerrufen.

Nächste Schritte