I criteri con ambito sono criteri di accesso che hanno come ambito cartelle o progetti specifici, insieme a un criterio di accesso che puoi applicare all'intera organizzazione. Puoi utilizzare i criteri con ambito per delegare l'amministrazione dei perimetri Controlli di servizio e dei livelli di accesso agli amministratori a livello di cartella e di progetto.
Le organizzazioni possono avere un solo criterio di accesso a livello di organizzazione, che puoi applicare a qualsiasi cartella o progetto nella tua organizzazione.
Potrebbero verificarsi casi in cui vuoi delegare la gestione di un criterio per un sottoinsieme di risorse di un'organizzazione, ad esempio una cartella, a un amministratore con delega. Puoi creare criteri di accesso limitati a cartelle o progetti specifici, insieme a un criterio di accesso applicabile all'intera organizzazione. Per delegare l'amministrazione dei perimetri e dei livelli di accesso di Controlli di servizio VPC agli amministratori a livello di cartella e di progetto, puoi utilizzare i criteri con ambito.
Quando deleghi l'amministrazione di un criterio con ambito, gli amministratori delegati possono modificare o leggere il criterio specifico, ma non quello di Gestore contesto accesso dell'organizzazione. I criteri con ambito limitano le risorse che possono essere limitate in un perimetro Controlli di servizio VPC e la visibilità di qualsiasi livello di accesso.
Gestione dei criteri con ambito
In qualità di amministratore di Gestore contesto accesso a livello di organizzazione, puoi creare, modificare ed eliminare i criteri con ambito: Puoi specificare le associazioni di Identity and Access Management (IAM) direttamente nel criterio Gestore contesto accesso e consentire un'ulteriore delega dell'amministrazione dei criteri di Gestore contesto accesso ad altri utenti dell'organizzazione. Un amministratore dei criteri con ambito può configurare perimetri e livelli di accesso di servizio nei criteri. Tuttavia, un amministratore dei criteri con ambito non può creare un nuovo criterio o modificare l'ambito del criterio da applicare a un'altra cartella o a un altro progetto.
Ecco una sequenza di come gli amministratori gestiscono i criteri con ambito:
L'amministratore a livello di organizzazione crea un nuovo criterio di accesso con un campo che specifica una cartella o un progetto specifico.
L'amministratore a livello di organizzazione assegna le autorizzazioni IAM all'amministratore con delega di accesso direttamente nella risorsa del criterio di accesso. L'amministratore delegato ora dispone delle autorizzazioni per il criterio con ambito, ma non per qualsiasi altro criterio, a meno che l'amministratore a livello di organizzazione non le assegni esplicitamente all'amministratore con delega.
L'amministratore delegato può ora modificare il criterio per configurare i livelli di accesso e i perimetri di servizio. L'amministratore con delega può anche concedere le autorizzazioni IAM su tale criterio a qualsiasi altro utente.
Quando elimini una cartella o un progetto, viene eliminato anche il criterio che contiene la cartella o il progetto eliminati. Inoltre, se sposti un progetto in un altro nodo nella gerarchia dell'organizzazione, il criterio che ha come ambito il progetto non viene modificato automaticamente. Devi eliminare il criterio associato al progetto e poi ricrearlo e specificarne l'ambito.
Gerarchia dei criteri con ambito
La risorsa organizzazione è il nodo radice della gerarchia di risorse Google Cloud e tutte le risorse che appartengono a un'organizzazione esistono come figli del nodo organizzazione. Le cartelle sono un meccanismo di raggruppamento sopra i progetti. Le cartelle e i progetti esistono come nodi secondari della risorsa organizzazione.
Il seguente diagramma mostra un'organizzazione di esempio che contiene cartelle per ogni reparto e le cartelle contengono progetti di sviluppo, test e produzione.
Nell'organizzazione di esempio, i seguenti vincoli si applicano a un perimetro di servizio o a un livello di accesso in un criterio con ambito:
I perimetri di servizio in un criterio con ambito possono limitare solo le risorse che esistono nell'ambito di questo criterio. Ad esempio, un perimetro di servizio in un criterio con ambito alla cartella Engineering può proteggere i progetti example-dev, example-prod ed example-test, perché si trovano nella cartella Engineering.
Se il criterio con ambito si applica alla cartella delle vendite, i perimetri di servizio in quel criterio non possono proteggere nessuno dei progetti example-dev, example-prod e example-test. Tuttavia, il perimetro di servizio nel criterio con ambito può consentire l'accesso ai progetti in altre cartelle utilizzando le regole in entrata e in uscita.
I livelli di accesso in un criterio con ambito sono visibili solo nell'ambito del criterio. Se crei un livello di accesso nel criterio con ambito alla cartella Engineering, solo i perimetri di servizio e i livelli di accesso nella cartella Engineering possono utilizzarlo. I perimetri di servizio e i livelli di accesso di altre cartelle non possono utilizzare il livello di accesso definito nella cartella Engineering.
Una posizione, ad esempio una cartella, nella gerarchia delle risorse dell'organizzazione example.com può avere più criteri che contengono un livello di accesso o un perimetro di servizio. In presenza di più criteri, la richiesta di risorse nell'organizzazione example.com viene valutata in base alle seguenti regole:
Un criterio può contenere un solo ambito, ad esempio una cartella, ma puoi creare un criterio per ogni livello di un'organizzazione. Ad esempio, se l'ambito del criterio 1 è la cartella di ingegneria, non puoi impostarla come ambito di qualsiasi altro criterio. Puoi impostare un altro criterio con l'ambito impostato sul file secondario della cartella Engineering, ad esempio example-prod.
Se l'ambito di un criterio è valido per un progetto o per un elemento padre del progetto, puoi aggiungere il progetto al criterio. Tuttavia, un progetto può essere membro di un solo perimetro di servizio in tutti i criteri. Ad esempio, un criterio con l'ambito impostato sull'organizzazione example.com può definire un perimetro di servizio con example-dev. Un criterio con ambito impostato sulla cartella Engineering o nell'ambito impostato nel progetto example-dev può anche aggiungere il progetto example-dev a un perimetro definito al loro interno. Tuttavia, solo uno di questi tre criteri può contenere questo progetto.