In questa pagina viene descritto come creare un criterio di accesso a livello di organizzazione per la tua organizzazione e i criteri con ambito per le cartelle e i progetti nella tua organizzazione.
Prima di iniziare
- Assicurati di disporre delle autorizzazioni corrette per utilizzare Gestore contesto accesso.
Crea un criterio di accesso a livello di organizzazione
Non puoi creare un criterio di accesso a livello di organizzazione se esiste un criterio di accesso a livello di organizzazione per l'organizzazione.
Console
Quando crei un livello di accesso o un perimetro di servizio Controlli di servizio VPC, viene creato automaticamente un criterio di accesso predefinito. Non sono richiesti passaggi manuali aggiuntivi.
gcloud
Per creare un criterio di accesso a livello di organizzazione, utilizza il comando create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
Dove:
ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per la tua norma.
Dovresti visualizzare un output simile al seguente (dove POLICY_NAME è un identificatore numerico del criterio assegnato da Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
A questo punto, imposta il criterio predefinito.
API
Per creare un criterio di accesso a livello di organizzazione:
Crea un corpo della richiesta.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }Dove:
ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per la tua norma.
Crea il criterio di accesso chiamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo della risposta
In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.
Crea un criterio di accesso con ambito e delega il criterio
Solo i Controlli di servizio VPC supportano la creazione di un criterio di accesso con ambito. Devi continuare a utilizzare i criteri a livello di organizzazione per i servizi Google Cloud, come Identity-Aware Proxy (IAP).
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Se ti viene richiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona il criterio di accesso principale del criterio con ambito. Ad esempio, puoi selezionare il criterio dell'organizzazione
default policy.Fai clic su Gestisci criteri.
Nella pagina Gestisci i controlli di servizio VPC, fai clic su Crea.
Nella pagina Crea criterio di accesso, nella casella Nome criterio di accesso, digita un nome per il criterio di accesso con ambito.
Il nome del criterio di accesso con ambito può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (
_). Il nome del criterio di accesso con ambito è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.Per specificare un ambito del criterio di accesso, fai clic su Ambiti.
Specifica un progetto o una cartella come ambito del criterio di accesso.
Per selezionare un progetto da aggiungere all'ambito del criterio di accesso, procedi nel seguente modo:
Nel riquadro Ambiti, fai clic su Aggiungi progetto.
Nella finestra di dialogo Aggiungi progetto, seleziona la casella di controllo del progetto.
Fai clic su Fine. Il progetto aggiunto viene visualizzato nella sezione Ambiti.
Per selezionare una cartella da aggiungere all'ambito del criterio di accesso, procedi nel seguente modo:
Nel riquadro Ambiti, fai clic su Aggiungi cartella.
Nella finestra di dialogo Aggiungi cartelle, seleziona la casella di controllo relativa alle cartelle.
Fai clic su Fine. La cartella aggiunta viene visualizzata nella sezione Ambiti.
Per delegare l'amministrazione del criterio di accesso con ambito, fai clic su Entità.
Per specificare il principal e il ruolo da associare al criterio di accesso, procedi nel seguente modo:
Nel riquadro Entità, fai clic su Aggiungi entità.
Nella finestra di dialogo Aggiungi entità, seleziona un'entità, ad esempio un nome utente o un account di servizio.
Seleziona il ruolo che vuoi associare all'entità, ad esempio Editor e Lettura.
Fai clic su Salva. L'entità e il ruolo aggiunti vengono visualizzati nella sezione Entità.
Nella pagina Crea criterio di accesso, fai clic su Crea criterio di accesso.
gcloud
Per creare un criterio di accesso con ambito, utilizza il comando gcloud access-context-manager policies create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Dove:
ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per la tua norma. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (
_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.SCOPE è la cartella o il progetto a cui si applica il criterio. Puoi specificare una sola cartella o un solo progetto come ambito e l'ambito deve esistere all'interno dell'organizzazione specificata. Se non specifichi un ambito, il criterio verrà applicato all'intera organizzazione.
Viene visualizzato il seguente output (dove POLICY_NAME è un identificatore numerico univoco del criterio assegnato da Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Per delegare l'amministrazione associando un'entità e un ruolo a un criterio di accesso con ambito, utilizza il comando add-iam-policy-binding.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Dove:
POLICY è l'ID della norma o dell'identificatore completo della norma.
PRINCIPAL è l'entità a cui aggiungere l'associazione. Specifica nel formato seguente:
user|group|serviceAccount:emailodomain:domain.ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, ad esempio
roles/accesscontextmanager.policyReader, o dell'ID del ruolo personalizzato, ad esempioorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.
API
Per creare un criterio di accesso con ambito, procedi nel seguente modo:
Crea un corpo della richiesta.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }Dove:
ORGANIZATION_ID è l'ID numerico della tua organizzazione.
SCOPE è la cartella o il progetto a cui si applica il criterio.
POLICY_TITLE è un titolo leggibile per la tua norma. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (
_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.
Crea il criterio di accesso chiamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo della risposta
In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.
Per delegare l'amministrazione del criterio di accesso con ambito:
Crea un corpo della richiesta.
{ "policy": "IAM_POLICY", }Dove:
- IAM_POLICY è una raccolta di associazioni. Un'associazione associa uno o più membri, o entità, a un singolo ruolo. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni; ogni ruolo può essere un ruolo predefinito IAM o un ruolo personalizzato creato dall'utente.
Crea il criterio di accesso chiamando
accessPolicies.setIamPolicy.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo della risposta
In caso di esito positivo, il corpo della risposta contiene un'istanza di policy.