Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione dell'accesso alle risorse di Compute Engine

Questa pagina descrive come applicare il principio del privilegio minimo concedendo l'accesso a risorse Compute Engine specifiche anziché a una risorsa principale come un progetto, una cartella o un'organizzazione.

Per concedere l'accesso a una risorsa, devi impostare Criterio IAM (Identity and Access Management) sulla risorsa. Il criterio vincola uno o più membri, ad esempio un utente o un account di servizio, a uno o più ruoli. Ogni ruolo contiene un elenco delle autorizzazioni che consentono al membro di interagire con la risorsa.

Se concedi l'accesso a un risorsa padre (ad esempio, a un progetto), concedi implicitamente l'accesso a tutti i suoi di risorse (ad esempio, tutte le VM in quel progetto). Per limitare l'accesso a di risorse, impostano criteri IAM su risorse di livello inferiore anziché a livello di progetto o di livello superiore.

Per informazioni generali su come concedere, modificare e revocare l'accesso a non correlate a Compute Engine, ad esempio per concedere l'accesso un progetto Google Cloud, consulta la documentazione IAM per Concessione, modifica e revoca dell'accesso alle risorse.

Prima di iniziare

Consulta la panoramica di IAM.
Leggi la panoramica del controllo dell'accesso di Compute Engine.
Acquisisci familiarità con i ruoli IAM per Compute Engine.
Se non l'hai già fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine come segue.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
1. Install the Google Cloud CLI, then initialize it by running the following command:
  gcloud init
  Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
2. Set a default region and zone.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire l'accesso alle risorse Compute Engine, chiedi all'amministratore di concederti il ruolo IAM Amministratore Compute (roles/compute.admin) per la risorsa. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire l'accesso alle risorse Compute Engine. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire l'accesso alle risorse Compute Engine sono necessarie le seguenti autorizzazioni:

Per concedere o revocare l'accesso alle risorse:
- compute.projects.get sul progetto
- compute.RESOURCE_TYPE.get nella risorsa
- compute.RESOURCE_TYPE.getIamPolicy nella risorsa
- compute.RESOURCE_TYPE.setIamPolicy nella risorsa
Per testare le autorizzazioni del chiamante: compute.RESOURCE_TYPE.getIamPolicy sulla risorsa
Sostituisci RESOURCE_TYPE con la risorsa a cui vuoi gestire l'accesso. Ad esempio instances, instanceTemplates o images.

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Risorse supportate

Per visualizzare un elenco delle risorse Compute Engine che supportano il controllo dell'accesso a livello di risorsa, consulta Tipi di risorse che accettano i criteri IAM e filtra per Compute Engine.

Per le altre risorse Compute Engine che non supportano il controllo dell'accesso a livello di risorsa, devi gestire l'accesso a queste risorse a livello di progetto, cartella o organizzazione. Per informazioni su organizzazioni, cartelle o progetti, consulta Gerarchia delle risorse.

Concessione dell'accesso alle risorse Compute Engine

Un'entità, ad esempio un account utente o di servizio, può accedere a Compute Engine Google Cloud. Un'identità è una proprietà di un principale. L'identità di un principale è in genere rappresentata da un indirizzo email associato all'account.

Prima di concedere un ruolo IAM a un'entità per una risorsa, controlla quali ruoli sono disponibili per una determinata risorsa. Per ulteriori informazioni, consulta Visualizzazione dei ruoli assegnabili sulle risorse.

Per concedere l'autorizzazione ad accedere a risorse Compute Engine specifiche, e impostare un criterio IAM per la risorsa.

Console

Nella console Google Cloud, vai alla rispettiva pagina delle risorse per cui vuoi aggiungere le autorizzazioni.
- Per le istanze, vai alla pagina Istanze VM.
- Per i dischi a livello di zona e di regione, vai alla pagina Dischi.
- Per gli snapshot, vai alla pagina Snapshot.
- Per le immagini, vai alla pagina Immagini.
- Per i modelli di istanza, vai alla pagina Modelli di istanza.
- Per le immagini macchina, vai alla pagina Immagini macchina.
- Per le prenotazioni, vai alla pagina Prenotazioni.
- Per i nodi single-tenant, vai alla pagina Nodi single-tenant.
Seleziona le caselle di controllo accanto alle risorse che vuoi aggiornare.
Completa i seguenti passaggi in base alla pagina delle risorse.
- Per le istanze VM, fai clic su Autorizzazioni.
- Per tutte le altre risorse, completa i seguenti passaggi:
  1. Controlla se il riquadro informativo è visibile. Se non è visibile, fai clic su Mostra riquadro informazioni.
  2. Seleziona la scheda Autorizzazioni.
Fai clic su Aggiungi entità.
Aggiungi l'identità per l'entità e seleziona il ruolo richiesto.
Per salvare le modifiche, fai clic su Salva.

gcloud

Per concedere un ruolo a un'entità in una risorsa, utilizza il comando secondario add-iam-policy-binding della risorsa con i flag --member e --role.

gcloud compute RESOURCE_TYPE add-iam-policy-binding RESOURCE_NAME \
    --member='PRINCIPAL' \
    --role='ROLE'

Sostituisci quanto segue:

RESOURCE_TYPE: il tipo di risorsa. Valori validi include:
- disks
- images
- instances
- instance-templates
- machine-images
- reservations
- sole-tenancy node-groups
- sole-tenancy node-templates
- snapshots
RESOURCE_NAME: il nome della risorsa. Ad esempio, my_instance.
PRINCIPAL: un'identità valida per l'entità che vuoi concedere al ruolo. Deve essere del tipo user|group|serviceAccount:EMAIL_ADDRESS o domain:DOMAIN_ADDRESS. Ad esempio:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
ROLE: il ruolo da assegnare a questa entità.

Se concedi l'accesso a una risorsa in anteprima, utilizza un comando gcloud beta compute.

REST

Per modificare un criterio IAM tramite l'API, svolgi i seguenti passaggi:

Leggi il criterio esistente con il rispettivo metodo getIamPolicy della risorsa. Ad esempio, la seguente richiesta HTTP legge Criterio IAM di una VM:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:getIamPolicy
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto a cui appartiene questa VM.
- ZONE: la zona della VM. Per le risorse regionali o globali, sostituisci zones/ZONE con regions/REGION o global.
- VM_NAME: il nome dell'istanza VM.
Compute Engine restituisce il criterio attuale nella risposta.
Modifica il criterio con un editor di testo per aggiungere o rimuovere entità e i relativi ruoli associati. Ad esempio, per concedere il ruolo compute.admin a email@example.com, aggiungi la nuova associazione seguente al criterio:
```
{
  "members": [
    "user:email@example.com"
  ],
  "role":"roles/compute.admin"
}
```
Scrivi le norme aggiornate con setIamPolicy():
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:setIamPolicy
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto a cui appartiene questa VM.
- ZONE: la zona della VM. Per le risorse regionali o globali, sostituisci zones/ZONE con regions/REGION o global.
- VM_NAME: il nome dell'istanza VM.
Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente.

Revocare l'accesso alle risorse

Come best practice, se i principali non hanno più bisogno di accedere alle tue risorse Compute Engine, revoca il loro accesso.

Console

Nella console Google Cloud, vai alla rispettiva pagina delle risorse per cui vuoi aggiungere le autorizzazioni.
- Per le istanze, vai alla pagina Istanze VM.
- Per i dischi a livello di zona e di regione, vai alla pagina Dischi.
- Per gli snapshot, vai alla pagina Snapshot.
- Per le immagini, vai alla pagina Immagini.
- Per i gruppi di istanze, vai alla pagina Gruppi di istanze.
- Per i modelli di istanza, vai alla pagina Modelli di istanza.
- Per le immagini macchina, vai alla pagina Immagini macchina.
- Per le prenotazioni, vai alla pagina Prenotazioni.
- Per i nodi single-tenant, vai alla pagina Nodi single-tenant.
Seleziona le caselle di controllo accanto alle risorse che vuoi aggiornare.
Completa i seguenti passaggi in base alla pagina delle risorse.
- Per le istanze VM, fai clic su Autorizzazioni.
- Per tutte le altre risorse, completa i seguenti passaggi:
  1. Controlla se il riquadro informativo è visibile. Se non è visibile, fai clic su Mostra riquadro informazioni.
  2. Seleziona la scheda Autorizzazioni.
Fai clic sulla scheda del ruolo da cui vuoi rimuovere i principali. Questo espande e mostra gli utenti con quel ruolo per quella risorsa.
Per rimuovere un'entità da quel ruolo, fai clic su Elimina.

gcloud

Per rimuovere un ruolo da un'entità per una risorsa, utilizza il comando sottocomando remove-iam-policy-binding con --member e --role e i flag facoltativi.

gcloud compute RESOURCE_TYPE remove-iam-policy-binding RESOURCE_NAME \
    --member='MEMBER' \
    --role='ROLE'

Sostituisci quanto segue:

RESOURCE_TYPE: tipo di risorsa. Valori validi include:
- disks
- images
- instances
- instance-templates
- machine-images
- reservations
- sole-tenancy node-groups
- sole-tenancy node-templates
- snapshots
RESOURCE_NAME: il nome della risorsa. Ad esempio, my_instance.
PRINCIPAL: un'identità valida per il principale. Deve essere del tipo user|group|serviceAccount:EMAIL_ADDRESS o domain:DOMAIN_ADDRESS. Ad esempio:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
- domain:example.domain.com
ROLE: il ruolo da cui vuoi rimuovere l'entità.

Se stai revocando l'accesso a una risorsa in anteprima, usa un comando gcloud beta compute.

REST

Per modificare un criterio IAM direttamente tramite l'API, procedi nel seguente modo: seguenti:

Leggi il criterio esistente con il rispettivo getIamPolicy della risorsa . Ad esempio, la seguente richiesta HTTP legge il criterio IAM di una VM:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:getIamPolicy
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto a cui appartiene questa VM.
- ZONE: la zona della VM. Per le risorse regionali o globali, sostituisci zones/ZONE con regions/REGION o global.
- VM_NAME: il nome dell'istanza VM.
Compute Engine restituisce il criterio corrente nella risposta.
Modifica il criterio con un editor di testo per rimuovere i membri dai ruoli associati. Ad esempio, rimuovi email@example.com da il ruolo compute.admin:
```
{
  "members": [
    "user:owner@example.com"
  ],
  "role":"roles/compute.admin"
}
```
Scrivi le norme aggiornate con setIamPolicy():
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:setIamPolicy
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto a cui appartiene questa VM.
- ZONE: la zona della VM. Per le risorse regionali o globali, sostituisci zones/ZONE con regions/REGION o global.
- VM_NAME: il nome dell'istanza VM.
Nel corpo della richiesta, fornisci il criterio IAM aggiornato del passaggio precedente.

Verificare se un chiamante dispone delle autorizzazioni

Se non sai quali autorizzazioni ha un'identità, utilizza il metodo API testIamPermissions per controllare quali autorizzazioni sono disponibili per un'identità.

Il metodo prende un URL della risorsa e un insieme di autorizzazioni come parametri di input e restituisce l'insieme di autorizzazioni consentite all'utente chiamante. Puoi utilizzare questo su una qualsiasi delle risorse supportate.

In genere, testIamPermissions è pensato per l'integrazione software proprietari, come una Graphic User Interface personalizzata. Tu in genere non chiamano testIamPermissions se utilizzi Google Cloud direttamente per gestire le autorizzazioni.

Ad esempio, se crei una GUI sull'API Compute Engine e la GUI abbia un "start" che avvia un'istanza, puoi chiamare compute.instances.testIamPermissions() per stabilire se il pulsante deve possono essere attivate o disattivate.

Per verificare se un chiamante dispone di autorizzazioni specifiche per una risorsa:

Invia una richiesta alla risorsa e includi nel corpo della richiesta un elenco di autorizzazioni da verificare.

Ad esempio, in un'istanza, potresti cercare compute.instances.start, compute.instances.stop e compute.instances.delete.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/testIamPermissions
    {
      "permissions": [
        "compute.instances.start",
        "compute.instances.stop",
        "compute.instances.delete"
       ]
    }

La richiesta restituisce le autorizzazioni abilitate per il chiamante.

{
  "permissions": [
    "compute.instances.start",
    "compute.instances.stop"
  ]
}

Modificare l'accesso alle risorse per più membri

Se vuoi modificare l'accesso alle risorse Compute Engine per più risorse contemporaneamente, esaminare i consigli su come modificare un criterio IAM in modo programmatico.

Passaggi successivi

Scopri come gestire l'accesso alle immagini personalizzate con IAM.
Scopri di più sugli account di servizio.
Scopri di più sui ruoli IAM di Compute Engine.
Scopri di più sulle autorizzazioni incluse negli Ruoli IAM di Compute Engine.
Scopri come creare e gestire i ruoli personalizzati.