Norme con ambito

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I criteri con ambito sono criteri di accesso che vengono limitati a cartelle o progetti specifici, insieme a un criterio di accesso che puoi applicare all'intera organizzazione. Puoi utilizzare i criteri con ambito per delegare l'amministrazione dei perimetri Controlli di servizio VPC e dei livelli di accesso per gli amministratori a livello di cartella e progetto.

Le organizzazioni possono avere un solo criterio di accesso a livello di organizzazione e puoi applicarlo a qualsiasi cartella o progetto nella tua organizzazione.

In alcuni casi, potresti delegare la gestione di un criterio per un sottoinsieme di risorse di un'organizzazione, ad esempio una cartella, a un utente con delega di amministratore. Puoi creare criteri di accesso limitati a cartelle o progetti specifici insieme a un criterio di accesso applicabile all'intera organizzazione. Per delegare l'amministrazione dei perimetri e dei livelli di accesso dei Controlli di servizio VPC agli amministratori a livello di cartella e progetto, puoi utilizzare i criteri con ambito.

Quando deleghi l'amministrazione di un criterio con ambito, gli utenti con delega di amministratore possono modificare o leggere il criterio specifico e non il criterio di Gestore contesto accesso dell'organizzazione. I criteri con ambito limitano le risorse che possono essere limitate in un perimetro dei Controlli di servizio VPC e la visibilità di qualsiasi livello di accesso.

Gestione dei criteri con ambito

In qualità di amministratore di Gestore contesto accesso a livello di organizzazione, puoi creare, modificare ed eliminare i criteri con ambito. Puoi specificare le associazioni di Identity and Access Management (IAM) direttamente nel criterio Access Context Manager e consentire un'ulteriore delega dell'amministrazione dei criteri di Access Context Manager ad altri utenti dell'organizzazione. Un amministratore dei criteri con ambito può configurare i perimetri di servizio e i livelli di accesso nei criteri. Tuttavia, un amministratore dei criteri con ambito non può creare un nuovo criterio o modificare l'ambito del criterio da applicare a un'altra cartella o progetto.

Ecco una sequenza di come gli amministratori gestiscono i criteri con ambito:

  1. L'amministratore a livello di organizzazione crea un nuovo criterio di accesso con un campo di ambito che fa riferimento a una cartella o a un progetto specifico.

  2. L'amministratore a livello di organizzazione assegna le autorizzazioni IAM all'amministratore con delega direttamente nella risorsa del criterio di accesso. Ora l'amministratore con delega dispone delle autorizzazioni per il criterio con ambito, ma non ha le autorizzazioni per altri criteri, a meno che l'amministratore a livello di organizzazione non le assegni esplicitamente all'amministratore con delega.

  3. Ora l'amministratore con delega può modificare il criterio per configurare i livelli di accesso e i perimetri di servizio. L'amministratore con delega può anche concedere le autorizzazioni IAM su tale criterio a qualsiasi altro utente.

Quando elimini una cartella o un progetto, viene eliminato anche il criterio che contiene la cartella o il progetto eliminato. Inoltre, se sposti un progetto su un altro nodo nella gerarchia dell'organizzazione, il criterio che ha come ambito il progetto non viene modificato automaticamente. Devi eliminare il criterio associato al progetto, quindi ricrearlo e specificarne l'ambito.

Gerarchia dei criteri con ambito

La risorsa dell'organizzazione è il nodo radice della gerarchia di risorse Google Cloud e tutte le risorse che appartengono a un'organizzazione esistono come elementi secondari del nodo dell'organizzazione. Le cartelle sono un meccanismo di raggruppamento che integra i progetti. Le cartelle e i progetti esistono come nodi secondari della risorsa dell'organizzazione.

Il seguente diagramma mostra un'organizzazione di esempio che contiene cartelle per ogni reparto, e le cartelle contengono progetti dev, test e produzione.

Architettura di deployment

Nell'organizzazione di esempio, i seguenti vincoli si applicano a un perimetro di servizio o a un livello di accesso in un criterio con ambito:

  • I perimetri di servizio in un criterio con ambito possono limitare solo le risorse che esistono nell'ambito di questo criterio. Ad esempio, un perimetro di servizio in un criterio che ha come ambito la cartella Engineering può proteggere i progetti example-dev, example-prod ed example-test, perché questi si trovano nella cartella Engineering.

    Se il criterio con ambito si applica alla cartella delle vendite, i perimetri di servizio in tale criterio non possono proteggere i progetti example-dev, example-prod ed example-test. Tuttavia, il perimetro di servizio nel criterio nell'ambito può consentire l'accesso ai progetti in altre cartelle utilizzando le regole di traffico in entrata e in uscita.

  • I livelli di accesso in un criterio con ambito sono visibili solo nell'ambito del criterio. Se crei un livello di accesso nel criterio che ha come ambito la cartella di progettazione, solo i perimetri di servizio e i livelli di accesso nella cartella di progettazione possono utilizzarlo. I perimetri di servizio e i livelli di accesso in altre cartelle non possono utilizzare il livello di accesso definito nella cartella di progettazione.

Una posizione, ad esempio una cartella, nella gerarchia delle risorse dell'organizzazione example.com può avere più criteri contenenti un livello di accesso o un perimetro di servizio. In presenza di più criteri, viene valutata una richiesta di risorse nell'organizzazione example.com in base alle seguenti regole:

  • Un criterio può contenere un solo ambito, ad esempio una cartella, ma puoi creare un criterio per ogni livello di un'organizzazione. Ad esempio, se l'ambito del criterio 1 è la cartella Engineering, non puoi impostare la cartella Engineering come ambito di qualsiasi altro criterio. Puoi impostare un altro criterio con l'ambito impostato sul file secondario della cartella di progettazione, ad esempio example-prod.

  • Se l'ambito di un criterio si applica a un progetto o a un progetto padre del progetto, puoi aggiungere il progetto al criterio. Tuttavia, un progetto può essere membro di un solo perimetro di servizio in tutti i criteri. Ad esempio, un criterio con ambito impostato sull'organizzazione example.com può definire un perimetro di servizio con example-dev. Un criterio con ambito impostato sulla cartella Engineering o nell'ambito impostato sul progetto example-dev può anche aggiungere il progetto example-dev a un perimetro definito all'interno di uno di essi. Tuttavia, solo uno di questi tre criteri può contenere il progetto.

Passaggi successivi