Questa pagina è stata tradotta dall'API Cloud Translation.

Ruoli IAM

Questa pagina descrive i ruoli IAM (Identity and Access Management) che puoi utilizzare per configurare Assured Workloads. I ruoli limitano la capacità di un'entità di accedere alle risorse. Concedi a un principale solo le autorizzazioni necessarie per interagire con le API, le funzionalità o le risorse Google Cloud applicabili.

Per poter creare una cartella Assured Workloads, devi disporre di uno dei ruoli elencati di seguito con questa abilità, nonché di un ruolo di controllo dell'accesso di Fatturazione Cloud. Devi anche disporre di un account di fatturazione valido e attivo. Per maggiori informazioni, consulta la panoramica del controllo dell'accesso nella fatturazione Cloud.

Ruoli obbligatori

Di seguito sono riportati i ruoli correlati ad Assured Workloads obbligatori per il minimo. Per imparare a concedere, modificare o revocare l'accesso alle risorse utilizzando i ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.

Assured Workloads Administrator (roles/assuredworkloads.admin): per creare ed eliminare cartelle Assured Workloads.
Visualizzatore organizzazione Resource Manager (roles/resourcemanager.organizationViewer): accesso per visualizzare tutte le risorse appartenenti a un'organizzazione.

Ruoli di Assured Workloads

Di seguito sono riportati i ruoli IAM associati ai carichi di lavoro garantiti e come concederli utilizzando Google Cloud CLI. Per scoprire come concedere questi ruoli nella console Google Cloud o in modo programmatico, consulta Concessione, modifica e revoca dell'accesso alle risorse nella documentazione IAM.

Sostituisci il segnaposto ORGANIZATION_ID con l'identificatore dell'organizzazione effettivo e example@customer.org con l'indirizzo email dell'utente. Per recuperare l'ID della tua organizzazione, consulta Recuperare l'ID dell'organizzazione.

`roles/assuredworkloads.admin`

Per creare ed eliminare cartelle Assured Workloads. Consente l'accesso in lettura/scrittura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Consente l'accesso in lettura/scrittura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Per ottenere e elencare le cartelle Assured Workloads. Consente l'accesso di sola lettura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Ruoli personalizzati

Se vuoi definire i tuoi ruoli in modo che contengano set di autorizzazioni da te specificati, utilizza i ruoli personalizzati.

Best practice per IAM di Assured Workloads

La corretta protezione dei ruoli IAM in modo che rispettino il privilegio minimo è una Google Cloud best practice di sicurezza. Questo principio segue la regola secondo cui gli utenti devono avere accesso solo ai prodotti, ai servizi e alle applicazioni richiesti dal loro ruolo. Al momento, gli utenti non sono soggetti a limitazioni per l'utilizzo di servizi non inclusi nell'ambito con i progetti Assured Workloads durante il deployment di prodotti e servizi al di fuori di una cartella Assured Workloads.

L'elenco dei prodotti inclusi nell'ambito per pacchetto di controllo aiuta gli amministratori della sicurezza a creare ruoli personalizzati che limitano l'accesso degli utenti solo ai prodotti inclusi nell'ambito all'interno della cartella Assured Workloads. I ruoli personalizzati possono contribuire a supportare l'ottenimento e il mantenimento della conformità all'interno di una cartella Assured Workloads.