Ruoli IAM

In questa pagina vengono descritti i ruoli IAM (Identity and Access Management) che puoi utilizzare per configurare Assured Workloads. I ruoli limitano la capacità di un'entità di accedere alle risorse. Concedi a un'entità solo le autorizzazioni necessarie per interagire con le API, le funzionalità o le risorse Google Cloud applicabili.

Per poter creare una cartella di Assured Workloads, ti deve essere assegnato uno dei ruoli elencati di seguito con questa funzionalità, nonché un ruolo di controllo dell'accesso per la fatturazione Cloud. Devi anche avere un account di fatturazione valido e attivo. Per ulteriori informazioni, consulta la Panoramica del controllo dell'accesso per la fatturazione Cloud.

Ruoli obbligatori

Di seguito sono riportati i ruoli minimi richiesti relativi ad Assured Workloads. Per scoprire come concedere, modificare o revocare l'accesso alle risorse utilizzando i ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.

Amministratore di Assured Workloads (roles/assuredworkloads.admin): per creare ed eliminare le cartelle di Assured Workloads.
Visualizzatore organizzazione Resource Manager (roles/resourcemanager.organizationViewer): consente di visualizzare tutte le risorse appartenenti a un'organizzazione.

Ruoli di Assured Workloads

Di seguito sono riportati i ruoli IAM associati ad Assured Workloads e come concedere questi ruoli utilizzando Google Cloud CLI. Per informazioni su come concedere questi ruoli nella console Google Cloud o in modo programmatico, consulta Concessione, modifica e revoca dell'accesso alle risorse nella documentazione di IAM.

Sostituisci il segnaposto ORGANIZATION_ID con l'effettivo identificatore dell'organizzazione e example@customer.org con l'indirizzo email dell'utente. Per recuperare l'ID organizzazione, consulta Recupero dell'ID organizzazione.

`roles/assuredworkloads.admin`

Per la creazione e l'eliminazione di cartelle Assured Workloads. Consente l'accesso in lettura/scrittura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Consente l'accesso in lettura/scrittura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Per recuperare ed elencare le cartelle di Assured Workloads. Consente l'accesso di sola lettura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Ruoli personalizzati

Se vuoi definire i tuoi ruoli in modo che contengano gruppi di autorizzazioni da te specificati, utilizza i ruoli personalizzati.

Best practice per IAM di Assured Workloads

Proteggere correttamente i ruoli IAM in modo da seguire il privilegio minimo è una best practice per la sicurezza di Google Cloud. Questo principio segue la regola secondo cui gli utenti devono avere accesso solo ai prodotti, ai servizi e alle applicazioni richiesti dal loro ruolo. Al momento gli utenti non sono limitati all'utilizzo di servizi fuori ambito con i progetti Assured Workloads durante il deployment di prodotti e servizi al di fuori di una cartella di Assured Workloads.

L'elenco dei prodotti nell'ambito per pacchetto di controllo aiuta gli amministratori della sicurezza a creare ruoli personalizzati che limitano l'accesso degli utenti solo ai prodotti inclusi nell'ambito della cartella Assured Workloads. I ruoli personalizzati sono in grado di supportare l'ottenimento e il mantenimento della conformità all'interno di una cartella Assured Workloads.