I criteri con ambito sono criteri di accesso che hanno come ambito cartelle o progetti specifici insieme a un criterio di accesso che puoi applicare all'intera organizzazione. Puoi utilizzare i criteri con ambito per delegare l'amministrazione dei perimetri e dei livelli di accesso dei Controlli di servizio VPC agli amministratori a livello di cartella e progetto.
Le organizzazioni possono avere un solo criterio di accesso a livello di organizzazione e tu puoi applicarlo a qualsiasi cartella o progetto nella tua organizzazione.
In alcuni casi, potresti voler delegare la gestione di un criterio per un sottoinsieme di risorse di un'organizzazione, ad esempio una cartella, a un amministratore con delega. Puoi creare criteri di accesso che hanno come ambito cartelle o progetti specifici insieme a un criterio di accesso che può essere applicato all'intera organizzazione. Per delegare l'amministrazione dei perimetri e dei livelli di accesso dei Controlli di servizio VPC agli amministratori a livello di cartella e di progetto, puoi utilizzare i criteri con ambito.
Quando deleghi l'amministrazione di un criterio con ambito, gli utenti con delega di amministratore possono modificare o leggere il criterio specifico e non il criterio di Gestore contesto accesso dell'organizzazione. I criteri con ambito limitano le risorse che possono essere limitate in un perimetro dei Controlli di servizio VPC, nonché la visibilità di qualsiasi livello di accesso.
Gestione dei criteri mirata
In qualità di amministratore di Gestore contesto accesso a livello di organizzazione, puoi creare, modificare ed eliminare i criteri con ambito. Puoi specificare le associazioni di Identity and Access Management (IAM) direttamente per il criterio di Gestore contesto accesso e consentire un'ulteriore delega dell'amministrazione dei criteri di Gestore contesto accesso ad altri utenti dell'organizzazione. Un amministratore dei criteri con ambito può configurare i perimetri di servizio e i livelli di accesso nei criteri. Tuttavia, un amministratore dei criteri con ambito non può creare un nuovo criterio o modificare l'ambito del criterio per applicarlo a un'altra cartella o progetto.
Di seguito è riportata una sequenza di come gli amministratori gestiscono i criteri con ambito:
L'amministratore a livello di organizzazione crea un nuovo criterio di accesso con un campo di ambito che fa riferimento a una cartella o a un progetto specifico.
L'amministratore a livello di organizzazione assegna le autorizzazioni IAM all'amministratore con delega direttamente nella risorsa del criterio di accesso. L'amministratore con delega ora dispone di autorizzazioni per il criterio con ambito, ma non per altri criteri, a meno che l'amministratore a livello di organizzazione non le assegni esplicitamente all'amministratore con delega.
L'amministratore con delega può ora modificare il criterio per configurare i livelli di accesso e i perimetri di servizio. L'amministratore con delega può anche concedere le autorizzazioni IAM per tale criterio a qualsiasi altro utente.
Quando elimini una cartella o un progetto, viene eliminato anche il criterio che ha come ambito la cartella o il progetto eliminato. Inoltre, se sposti un progetto in un altro nodo della gerarchia dell'organizzazione, il criterio con ambito al progetto non viene modificato automaticamente. Devi eliminare il criterio associato al progetto, quindi ricreare il criterio e specificare l'ambito.
Gerarchia dei criteri con ambito
La risorsa organizzazione è il nodo radice della gerarchia delle risorse Google Cloud e tutte le risorse che appartengono a un'organizzazione esistono come elementi figlio del nodo organizzazione. Le cartelle sono un meccanismo di raggruppamento sopra i progetti. Le cartelle e i progetti esistono come nodi figlio della risorsa organizzazione.
Il seguente diagramma mostra un'organizzazione di esempio che contiene cartelle per ogni reparto, mentre le cartelle contengono progetti di sviluppo, test e produzione.
Nell'organizzazione di esempio, i seguenti vincoli si applicano a un perimetro di servizio o a un livello di accesso in un criterio con ambito:
I perimetri di servizio in un criterio con ambito possono limitare solo le risorse esistenti nell'ambito di quel criterio. Ad esempio, un perimetro di servizio in un criterio con ambito della cartella di progettazione può proteggere i progetti example-dev, example-prod ed example-test perché i progetti si trovano nella cartella di progettazione.
Se il criterio con ambito si applica alla cartella Vendite, i perimetri di servizio in quel criterio non possono proteggere alcun progetto example-dev, example-prod ed example-test. Tuttavia, il perimetro di servizio nel criterio con ambito può consentire l'accesso ai progetti in altre cartelle utilizzando regole in entrata e in uscita.
I livelli di accesso in un criterio con ambito sono visibili soltanto nell'ambito del criterio. Se crei un livello di accesso nel criterio con ambito alla cartella di progettazione, solo i perimetri di servizio e i livelli di accesso nella cartella di progettazione possono utilizzarlo. I perimetri di servizio e i livelli di accesso in altre cartelle non possono utilizzare il livello di accesso definito nella cartella di progettazione.
Una località, ad esempio una cartella, nella gerarchia delle risorse dell'organizzazione example.com può avere più criteri che contengono un livello di accesso o un perimetro di servizio. Quando esistono più criteri, una richiesta di risorse nell'organizzazione example.com viene valutata in base alle seguenti regole:
Un criterio può contenere un solo ambito, ad esempio una cartella, ma è possibile creare un criterio per ogni livello di un'organizzazione. Ad esempio, se l'ambito del criterio 1 è la cartella di progettazione, non puoi impostarla come ambito di qualsiasi altro criterio. Puoi impostare un altro criterio con l'ambito impostato sull'elemento secondario della cartella di ingegneria, ad esempio example-prod.
Se l'ambito di un criterio si applica a un progetto o a un elemento padre del progetto, puoi aggiungere il progetto al criterio. Tuttavia, un progetto può far parte di un solo perimetro di servizio in tutti i criteri. Ad esempio, un criterio con ambito impostato sull'organizzazione example.com può definire un perimetro di servizio con example-dev. Un criterio con ambito impostato sulla cartella progettazione o sull'ambito impostato sul progetto example-dev può anche aggiungere il progetto example-dev a un perimetro definito al suo interno. Tuttavia, solo uno di questi tre criteri può contenere questo progetto.