English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Contattaci Inizia gratuitamente

Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un criterio di accesso

Questa pagina descrive come creare un criterio di accesso a livello di organizzazione per la tua organizzazione e criteri con ambito per le cartelle e i progetti al suo interno.

Prima di iniziare

Assicurati di disporre delle autorizzazioni corrette per utilizzare Gestore contesto accesso.

Creare un criterio di accesso a livello di organizzazione

Per un'organizzazione, non puoi creare una policy di accesso a livello di organizzazione se ne esiste già una per l'organizzazione.

Console

Quando crei un livello di accesso, viene creato automaticamente un criterio di accesso predefinito. Non sono necessari ulteriori passaggi manuali.

gcloud

Per creare un criterio di accesso a livello di organizzazione, utilizza il comando create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Dove:

ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per le tue norme.

Dovresti visualizzare un output simile al seguente (dove POLICY_NAME è un identificatore numerico univoco per il criterio assegnato da Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Quindi, imposta la norma predefinita.

API

Per creare un criterio di accesso a livello di organizzazione:

Crea un corpo della richiesta.
```
{
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}
```
Dove:
- ORGANIZATION_ID è l'ID numerico della tua organizzazione.
- POLICY_TITLE è un titolo leggibile per le tue norme.

Crea il criterio di accesso chiamando accessPolicies.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta della chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.

Crea un criterio di accesso delimitato e delegalo

Solo i Controlli di servizio VPC supportano la creazione di un criterio di accesso basato sugli ambiti. Devi continuare a utilizzare i criteri a livello di organizzazione per Google Cloud i servizi, come Identity-Aware Proxy (IAP).

Console

Nel Google Cloud menu di navigazione della console, fai clic su Sicurezza e poi su Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Se ti viene chiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.
Nella pagina Controlli di servizio VPC, seleziona il criterio di accesso che è il supergruppo del criterio basato sugli ambiti. Ad esempio, puoi selezionare il default policy criterio dell'organizzazione.
Fai clic su Gestisci criteri.
Nella pagina Gestisci i controlli di servizio VPC, fai clic su Crea.
Nella pagina Crea criterio di accesso, nella casella Nome criterio di accesso, digita un nome per il criterio di accesso basato sugli ambiti.

Il nome del criterio di accesso basato sugli ambiti può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del criterio di accesso basato sugli ambiti è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.
Per specificare un ambito per il criterio di accesso, fai clic su Ambiti.
Specifica un progetto o una cartella come ambito del criterio di accesso.
- Per selezionare un progetto da aggiungere all'ambito del criterio di accesso:
  1. Nel riquadro Ampiamenti, fai clic su Aggiungi progetto.
  2. Nella finestra di dialogo Aggiungi progetto, seleziona la casella di controllo del progetto.
  3. Fai clic su Fine. Il progetto aggiunto viene visualizzato nella sezione Ampiamenti.
- Per selezionare una cartella da aggiungere all'ambito del criterio di accesso, procedi nel seguente modo:
  1. Nel riquadro Ambito, fai clic su Aggiungi cartella.
  2. Nella finestra di dialogo Aggiungi cartelle, seleziona la casella di controllo delle cartelle.
  3. Fai clic su Fine. La cartella aggiunta viene visualizzata nella sezione Ampiamenti.
Per delegare l'amministrazione del criterio di accesso basato sugli ambiti, fai clic su Enti.
Per specificare l'entità e il ruolo da associare al criterio di accesso, procedi nel seguente modo:
1. Nel riquadro Enti, fai clic su Aggiungi entità.
2. Nella finestra di dialogo Aggiungi entità, seleziona un'entità, ad esempio il nome di un utente o un account di servizio.
3. Seleziona il ruolo da associare all'entità, ad esempio i ruoli di editor e di lettura.
4. Fai clic su Salva. L'entità e il ruolo aggiunti vengono visualizzati nella sezione Enti.
Nella pagina Crea criteri di accesso, fai clic su Crea criteri di accesso.

gcloud

Per creare un criterio di accesso basato sugli ambiti, utilizza il comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dove:

ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per le tue norme. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno dei criteri di accesso di un'organizzazione.
SCOPE è la cartella o il progetto a cui si applica questo criterio. Puoi specificare una sola cartella o un solo progetto come ambito, che deve esistere all'interno dell'organizzazione specificata. Se non specifichi un ambito, il criterio si applica all'intera organizzazione.

Viene visualizzato il seguente output (dove POLICY_NAME è un identificatore numerico univoco per il criterio assegnato da Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Per delegare l'amministrazione associando un entità e un ruolo a un criterio di accesso basato sugli ambiti, utilizza il comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dove:

POLICY è l'ID del criterio o l'identificatore completo del criterio.
PRINCIPAL è l'entità per cui aggiungere l'associazione. Specifica il seguente formato: user|group|serviceAccount:email o domain:domain.
ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, ad esempio roles/accesscontextmanager.policyReader, o l'ID ruolo di un ruolo personalizzato, ad esempio organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Per creare un criterio di accesso basato sugli ambiti:

Crea un corpo della richiesta.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Dove:
- ORGANIZATION_ID è l'ID numerico della tua organizzazione.
- SCOPE è la cartella o il progetto a cui si applica questo criterio.
- POLICY_TITLE è un titolo leggibile per le tue norme. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno dei criteri di accesso di un'organizzazione.

Crea il criterio di accesso chiamando accessPolicies.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta della chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.

Per delegare l'amministrazione del criterio di accesso basato sugli ambiti:

Crea un corpo della richiesta.
```
{
 "policy": "IAM_POLICY",
}
```
Dove:
- IAM_POLICY è una raccolta di associazioni. Un'associazione associa uno o più membri o entità a un singolo ruolo. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni. Ogni ruolo può essere un ruolo IAM predefinito o un ruolo personalizzato creato dall'utente.

Crea il criterio di accesso chiamando accessPolicies.setIamPolicy.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta contiene un'istanza di policy.

Passaggi successivi

Gestire un criterio di accesso

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2025-07-10 UTC.