Ruoli IAM
Questa pagina descrive i ruoli IAM (Identity and Access Management) che puoi utilizzare per configurare Assured Workloads. I ruoli limitano la capacità di un'entità di accedere alle risorse. Concedi a un principale solo le autorizzazioni di cui ha bisogno per interagire con le API, le funzionalità o le risorse Google Cloud applicabili.
Per poter creare una cartella Assured Workloads, ti deve essere assegnato uno dei ruoli elencati di seguito con questa funzionalità, oltre a un fatturazione Cloud il ruolo di controllo dell'accessoo. Devi anche disporre di un account di fatturazione valido e attivo. Per ulteriori informazioni, vedi Panoramica del controllo dell'accesso alla fatturazione Cloud.
Ruoli obbligatori
Di seguito sono riportati i ruoli minimi richiesti relativi ad Assured Workloads. A scoprire come concedere, modificare o revocare l'accesso alle risorse utilizzando Per i ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.
- Amministratore Assured Workloads (
roles/assuredworkloads.admin
): Per la creazione e l'eliminazione delle cartelle Assured Workloads. - Visualizzatore organizzazione Resource Manager (
roles/resourcemanager.organizationViewer
): accesso per visualizzare tutte le risorse appartenenti a un'organizzazione.
Ruoli di Assured Workloads
Di seguito sono riportati i ruoli IAM associati ai carichi di lavoro garantiti e come concederli utilizzando Google Cloud CLI. Per scoprire come concedere questi ruoli nella console Google Cloud o in modo programmatico, consulta Concessione, modifica e revoca dell'accesso alle risorse nella documentazione IAM.
Sostituisci il segnaposto ORGANIZATION_ID con l'identificatore dell'organizzazione effettivo e example@customer.org
con l'indirizzo email dell'utente. Per recuperare
l'ID della tua organizzazione, consulta
Recuperare l'ID dell'organizzazione.
roles/assuredworkloads.admin
Per creare ed eliminare cartelle Assured Workloads. Consente lettura/scrittura l'accesso.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
Consente l'accesso in lettura/scrittura.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
Per ottenere ed elencare le cartelle Assured Workloads. Consente la sola lettura l'accesso.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
Ruoli personalizzati
Se vuoi definire ruoli personalizzati che contengano pacchetti di autorizzazioni che da te specificati, utilizza i ruoli personalizzati.
Best practice per IAM di Assured Workloads
La corretta protezione dei ruoli IAM in modo che rispettino il privilegio minimo è una best practice di sicurezza di Google Cloud. Questo principio segue la regola che gli utenti devono avere ai prodotti, ai servizi e alle applicazioni richiesti dal ruolo. Al momento gli utenti non sono soggetti a limitazioni per l'utilizzo di servizi non inclusi nell'ambito con i progetti Assured Workloads durante il deployment di prodotti e servizi al di fuori di una cartella Assured Workloads.
La elenco dei prodotti inclusi nell'ambito per pacchetto di controlli aiuta a guidare gli amministratori della sicurezza durante la creazione ruoli personalizzati che limitano l'accesso solo i prodotti che rientrano nell'ambito della cartella Assured Workloads. Personalizzate possono aiutare l'ottenimento e il mantenimento della conformità in un Cartella Assured Workloads.