Ruoli IAM

Questa pagina descrive i ruoli IAM (Identity and Access Management) che puoi utilizzare per configurare Assured Workloads. I ruoli limitano la capacità di un'entità di accedere alle risorse. Concedi a un principale solo le autorizzazioni di cui ha bisogno per interagire con le API, le funzionalità o le risorse Google Cloud applicabili.

Per poter creare una cartella Assured Workloads, ti deve essere assegnato uno dei ruoli elencati di seguito con questa funzionalità, oltre a un fatturazione Cloud il ruolo di controllo dell'accessoo. Devi anche disporre di un account di fatturazione valido e attivo. Per ulteriori informazioni, vedi Panoramica del controllo dell'accesso alla fatturazione Cloud.

Ruoli obbligatori

Di seguito sono riportati i ruoli minimi richiesti relativi ad Assured Workloads. A scoprire come concedere, modificare o revocare l'accesso alle risorse utilizzando Per i ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.

  • Amministratore Assured Workloads (roles/assuredworkloads.admin): Per la creazione e l'eliminazione delle cartelle Assured Workloads.
  • Visualizzatore organizzazione Resource Manager (roles/resourcemanager.organizationViewer): accesso per visualizzare tutte le risorse appartenenti a un'organizzazione.

Ruoli di Assured Workloads

Di seguito sono riportati i ruoli IAM associati ai carichi di lavoro garantiti e come concederli utilizzando Google Cloud CLI. Per scoprire come concedere questi ruoli nella console Google Cloud o in modo programmatico, consulta Concessione, modifica e revoca dell'accesso alle risorse nella documentazione IAM.

Sostituisci il segnaposto ORGANIZATION_ID con l'identificatore dell'organizzazione effettivo e example@customer.org con l'indirizzo email dell'utente. Per recuperare l'ID della tua organizzazione, consulta Recuperare l'ID dell'organizzazione.

roles/assuredworkloads.admin

Per creare ed eliminare cartelle Assured Workloads. Consente lettura/scrittura l'accesso.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

Consente l'accesso in lettura/scrittura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Per ottenere ed elencare le cartelle Assured Workloads. Consente la sola lettura l'accesso.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Ruoli personalizzati

Se vuoi definire ruoli personalizzati che contengano pacchetti di autorizzazioni che da te specificati, utilizza i ruoli personalizzati.

Best practice per IAM di Assured Workloads

La corretta protezione dei ruoli IAM in modo che rispettino il privilegio minimo è una best practice di sicurezza di Google Cloud. Questo principio segue la regola che gli utenti devono avere ai prodotti, ai servizi e alle applicazioni richiesti dal ruolo. Al momento gli utenti non sono soggetti a limitazioni per l'utilizzo di servizi non inclusi nell'ambito con i progetti Assured Workloads durante il deployment di prodotti e servizi al di fuori di una cartella Assured Workloads.

La elenco dei prodotti inclusi nell'ambito per pacchetto di controlli aiuta a guidare gli amministratori della sicurezza durante la creazione ruoli personalizzati che limitano l'accesso solo i prodotti che rientrano nell'ambito della cartella Assured Workloads. Personalizzate possono aiutare l'ottenimento e il mantenimento della conformità in un Cartella Assured Workloads.