Configura criteri IAM

Questa pagina descrive come configurare i criteri di Identity and Access Management (IAM) che consentono ai membri di creare e gestire le risorse di Certificate Authority Service. Per ulteriori informazioni su IAM, consulta la Panoramica per IAM.

Criteri IAM generali

In CA Service, concedi i ruoli IAM agli utenti account di servizio per la creazione e la gestione delle risorse di CA Service. Tu puoi aggiungere queste associazioni di ruoli ai seguenti livelli:

  • Livello del pool di CA per gestire l'accesso per uno specifico pool di CA e per le CA in quel pool.
  • A livello di progetto o di organizzazione per concedere l'accesso a tutti i pool di CA in questo ambito.

I ruoli vengono ereditati, se concessi a un livello di risorsa superiore. Ad esempio, un utente che dispone del ruolo di revisore (roles/privateca.auditor) a livello di progetto può visualizzare tutte le risorse del progetto. i criteri IAM che impostati su un pool di autorità di certificazione (CA) vengono ereditati da tutte le CA in quel pool di CA.

Non è possibile concedere ruoli IAM su certificati e risorse CA.

Criteri IAM condizionali

Se hai un pool di CA condiviso che potrebbe essere utilizzato da più utenti autorizzati a richiedere diversi tipi di certificati, puoi definire Condizioni IAM per applicare in modo forzato l'accesso basato su attributi alcune operazioni su un pool di CA.

Le associazioni di ruoli condizionali IAM consentono di concedere l'accesso alle entità solo se sono soddisfatte le condizioni specificate. Ad esempio, se Richiedente del certificato è associato all'utente alice@example.com in un pool di CA con la condizione le SAN DNS richieste sono un sottoinsieme di ['alice@example.com', 'bob@example.com'], l'utente potrà richiedere certificati dallo stesso pool di CA solo se il valore SAN richiesto è uno di questi due valori consentiti. Puoi impostare le condizioni su IAM associazioni mediante espressioni CEL (Common Expression Language). Queste condizioni possono aiutarti a limitare ulteriormente il tipo di certificati che un utente può richiedere. Per informazioni sull'utilizzo delle espressioni CEL per le condizioni IAM, consulta il dialetto Common Expression Language (CEL) per i criteri IAM.

Prima di iniziare

  • Abilita l'API.
  • Crea una CA e un pool di CA seguendo le istruzioni riportate in uno dei tutorial iniziali.
  • Scopri i ruoli IAM disponibili per Certificate Authority Service.

Configurazione delle associazioni di criteri IAM a livello di progetto

I seguenti scenari descrivono come concedere agli utenti l'accesso a CA Service di risorse a livello di progetto.

Gestione delle risorse

Un amministratore del servizio CA (roles/privateca.admin) dispone delle autorizzazioni per gestire tutte le risorse del servizio CA e impostare i criteri IAM sui pool CA e sui modelli di certificato.

Per assegnare il ruolo Amministratore servizio CA (roles/privateca.admin) a un a livello di progetto, segui queste istruzioni:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email dell'entità oppure da un altro identificatore.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Amministratore servizio CA.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: l'account utente o di servizio a cui da assegnare il ruolo Amministratore servizio CA.

Il flag --role assume il ruolo IAM che vuoi assegnare al membro.

Crea le risorse

Un CA Service Operation Manager (roles/privateca.caManager) può creare, aggiornare ed eliminare pool di CA e CA. Questo ruolo consente anche al chiamante di revocare emessi dalle CA nel pool di CA.

Per assegnare il ruolo Gestore delle operazioni del servizio CA (roles/privateca.caManager) a un utente a livello di progetto, segui le istruzioni riportate di seguito:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email dell'entità oppure da un altro identificatore.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Gestore operazioni servizio CA.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: l'utente o l'account di servizio per cui vuoi aggiungere il ruolo IAM.

Il flag --role assume il ruolo IAM che vuoi assegnare al membro.

Per ulteriori informazioni sul comando gcloud projects add-iam-policy-binding, consulta gcloud projects add-iam-policy-binding.

Facoltativamente, anche la creazione di una CA utilizzando una chiave Cloud KMS esistente richiede il chiamante come amministratore della chiave Cloud KMS.

L'amministratore Cloud KMS (roles/cloudkms.admin) ha accesso completo a tutti Risorse di Cloud KMS, ad eccezione delle operazioni di crittografia e decriptazione. Per per ulteriori informazioni sui ruoli IAM per Cloud KMS, consulta Cloud KMS: autorizzazioni e ruoli.

Per concedere a un utente il ruolo Amministratore Cloud KMS (roles/cloudkms.admin), segui le istruzioni riportate di seguito:

Console

  1. Nella console Google Cloud, vai alla pagina Cloud Key Management Service.

    Vai a Cloud Key Management Service

  2. In Keyring, fai clic sul keyring contenente la chiave di firma CA.

  3. Fai clic sulla chiave che corrisponde alla chiave di firma della CA.

  4. Se il riquadro informativo non è visibile, fai clic su Mostra riquadro informazioni. Poi, fai clic su Autorizzazioni.

  5. Fai clic su Aggiungi entità.

  6. Nel campo Nuove entità, inserisci l'indirizzo email dell'entità oppure da un altro identificatore.

  7. Nell'elenco Seleziona un ruolo, seleziona il ruolo Amministratore Cloud KMS.

  8. Fai clic su Salva.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Sostituisci quanto segue:

  • KEY: l'identificatore univoco della chiave.
  • KEYRING: il keyring che contiene la chiave. Per Per ulteriori informazioni sui keyring, consulta l'articolo Keyring.
  • MEMBER: l'account utente o di servizio per cui aggiungere l'associazione IAM.

Il flag --role assume il ruolo IAM che vuoi assegnare al membro.

Per ulteriori informazioni sul comando gcloud kms keys add-iam-policy-binding, consulta gcloud kms keys add-iam-policy-binding.

Risorse per l'auditing

Un revisore del servizio CA (roles/privateca.auditor) ha accesso in lettura a di tutte le risorse in CA Service. Se concesso per un pool di CA specifico, concede l'accesso in lettura al pool di CA. Se il pool di CA si trova nel livello Enterprise, l'utente con questo ruolo può anche visualizzare i certificati e i CRL emessi dalle CA nel Pool di CA. Assegna questo ruolo a persone responsabili della convalida la sicurezza e le operazioni del pool di CA.

Per assegnare il revisore del servizio CA (roles/privateca.auditor) a un utente a livello di progetto, segui queste istruzioni:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email dell'entità oppure da un altro identificatore.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo CA Service Auditor.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: identificatore univoco dell'utente a cui è destinato vuoi assegnare CA Service Auditor (roles/privateca.auditor).

Il flag --role assume il ruolo IAM che vuoi assegnare al membro.

Configurazione delle associazioni dei criteri IAM a livello di risorsa

Questa sezione descrive come configurare le associazioni di criteri IAM per una determinata risorsa nel servizio CA.

Gestione dei pool di autorità di certificazione

Puoi concedere il ruolo Amministratore servizio CA (roles/privateca.admin) all'indirizzo il livello della risorsa per gestire un pool di CA specifico o un modello di certificato.

Console

  1. Nella console Google Cloud, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestore del pool di CA e seleziona il pool di CA per il quale concedere le autorizzazioni.

  3. Se il riquadro informativo non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro tipo di entità identificativo dell'utente.

  6. Nell'elenco Seleziona un ruolo, scegli il ruolo CA Service Admin.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato nella risorsa del pool di CA.

gcloud

Per impostare il criterio IAM, esegui questo comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA per per cui vuoi impostare il criterio IAM.
  • LOCATION: la località del pool di CA. Per per un elenco completo delle località, consulta la sezione Località.
  • MEMBER: l'account utente o di servizio a cui assegnare il ruolo IAM.

Il flag --role assume il ruolo IAM che vuoi assegnare al membro.

Per ulteriori informazioni sul comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pool add-iam-policy-binding.

Segui gli stessi passaggi per concedere il ruolo CA Service Admin su un modello di certificato.

Puoi anche concedere al gestore delle operazioni del servizio CA (roles/privateca.caManager) per un pool di CA specifico. Questo ruolo consente al chiamante di revocare i certificati emessi dalle CA in quel pool di CA.

Console

  1. Nella console Google Cloud, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestore del pool di CA e seleziona il pool di CA per il quale concedere le autorizzazioni.

  3. Se il riquadro informativo non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  6. Nell'elenco Seleziona un ruolo, seleziona il ruolo CA Service Operation Manager.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato nella risorsa del pool di CA a cui appartiene la CA.

gcloud

Per concedere il ruolo a un pool di CA specifico, esegui questo comando gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA.
  • LOCATION: la località del pool di CA. Per un elenco completo delle località, consulta Località.
  • MEMBER: identificatore univoco dell'utente a cui è destinato vuoi assegnare il ruolo CA Service Operation Manager (roles/privateca.caManager).

Il flag --role prende il ruolo IAM che vuoi assegnare al membro.

Per saperne di più sul comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pool add-iam-policy-binding.

Creazione dei certificati

Concedi il ruolo Gestore certificati servizio CA (roles/privateca.certificateManager) agli utenti per consentire loro di inviare richieste di emissione dei certificati a un pool di CA. Questo ruolo concede l'accesso in lettura alle risorse di CA Service. Consentire solo la creazione di certificati senza accesso in lettura, concedi il certificato di servizio CA richiedente (roles/privateca.certificateRequester) ruolo. Per ulteriori informazioni sui ruoli IAM per CA Service, consulta Controllo dell'accesso con IAM.

Per concedere all'utente l'accesso per creare certificati per una CA specifica, segui le istruzioni riportate di seguito.

Console

  1. Nella console Google Cloud, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic su Gestore del pool di CA e seleziona il pool di CA per il quale concedere le autorizzazioni.

  3. Se il riquadro informativo non è visibile, fai clic su Mostra riquadro informazioni. Poi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro tipo di entità identificativo dell'utente.

  6. Nell'elenco Seleziona un ruolo, scegli il ruolo CA Service Certificate Manager.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato nella risorsa del pool di CA a cui appartiene la CA.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA.
  • LOCATION: la località del pool di CA. Per per un elenco completo delle località, consulta la sezione Località.
  • MEMBER: identificatore univoco dell'utente a cui è destinato che vuoi assegnare al gestore certificati del servizio CA (roles/privateca.certificateManager).

Il flag --role prende il ruolo IAM che vuoi assegnare al membro.

Aggiunta di associazioni di criteri IAM a un modello di certificato

Per aggiungere un criterio IAM a un determinato modello di certificato, segui queste istruzioni:

Console

  1. Nella console Google Cloud, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestione modelli e seleziona il modello di certificato per cui vuoi concedere le autorizzazioni.

  3. Se il riquadro informativo non è visibile, fai clic su Mostra riquadro informazioni. Poi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro tipo di entità identificativo dell'utente.

  6. Seleziona un ruolo da concedere dall'elenco a discesa Seleziona un ruolo.

  7. Fai clic su Salva.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la posizione del modello di certificato. Per l'elenco completo delle sedi, consulta la sezione Località.
  • MEMBER: l'account utente o di servizio per cui aggiungere l'associazione dei criteri IAM.
  • ROLE: il ruolo che vuoi concedere al membro.

Per ulteriori informazioni sul comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.

Per saperne di più sulla modifica del ruolo IAM di un utente, consulta Concessione dell'accesso.

Rimozione delle associazioni dei criteri IAM

Puoi rimuovere un'associazione di criteri IAM esistente utilizzando il comando remove-iam-policy-binding di Google Cloud CLI.

Per rimuovere un criterio IAM in un determinato pool di CA, utilizza il seguente comando gcloud:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la località del pool di CA. Per per un elenco completo delle località, consulta la sezione Località.
  • MEMBER: l'account utente o di servizio per cui rimuovere l'associazione dei criteri IAM.
  • ROLE: il ruolo che vuoi rimuovere per il membro.

Per maggiori informazioni sul comando gcloud privateca pools remove-iam-policy-binding, consulta gcloud privateca pool remove-iam-policy-binding.

Per rimuovere un criterio IAM da un determinato modello di certificato, utilizza il seguente comando gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la posizione del modello di certificato. Per l'elenco completo delle sedi, consulta la sezione Località.
  • MEMBER: l'account utente o di servizio per cui vuoi rimuovere l'associazione di criteri IAM.
  • ROLE: il ruolo che vuoi rimuovere per il membro.

Per ulteriori informazioni sul comando gcloud privateca templates remove-iam-policy-binding, consulta gcloud privateca templates remove-iam-policy-binding.

Per saperne di più sulla rimozione del ruolo IAM di un utente, consulta Revoca dell'accesso.

Passaggi successivi