Controllo dell'accesso con IAM
Questo argomento descrive come utilizzare Identity and Access Management per controllare in che modo Config Connector può creare e gestire le risorse Google Cloud.
Per installare Config Connector, devi eseguire l'autenticazione creando un account di servizio IAM e utilizzando Workload Identity per GKE per associare gli account di servizio IAM agli account di servizio Kubernetes. IAM consente a Config Connector di intervenire su risorse specifiche. Limitando le autorizzazioni assegnate ai tuoi account di servizio, hai un maggiore controllo sui tipi di risorse che Config Connector può creare.
Puoi scegliere di gestire le risorse con un singolo account di servizio o più account di servizio.
Singolo account di servizio
Quando installi Config Connector con il componente aggiuntivo di GKE o con l'installazione manuale, puoi impostare la modalità cluster in ConfigConnector
CustomResource.
Con la modalità cluster, puoi utilizzare un singolo account di servizio IAM per creare e gestire le risorse, anche se utilizzi Config Connector per gestire più progetti.
Il seguente diagramma mostra come funziona questa modalità, in cui lo stesso account di servizio gestisce due progetti:
Più account di servizio
Puoi utilizzare più account di servizio impostando la modalità con spazio dei nomi in
ConfigConnector
CustomResource.
La modalità namepaced ti consente di suddividere le autorizzazioni in base ai rispettivi problemi di diversi account di servizio IAM e isolare le autorizzazioni tra diversi spazi dei nomi Kubernetes, poiché puoi associare un account di servizio diverso per ogni spazio dei nomi.
Scegli la modalità con spazio dei nomi se:
- vuoi isolare le autorizzazioni IAM a livello dei nomi Kubernetes.
- Dovresti gestire un numero elevato di risorse Google Cloud da più progetti Google Cloud in un singolo cluster.
Ad esempio, puoi creare un account di servizio IAM per ogni progetto, organizzare le risorse di ogni progetto nello stesso spazio dei nomi Kubernetes, quindi associare l'account di servizio IAM corrispondente allo spazio dei nomi Kubernetes. In questo modo puoi separare le autorizzazioni IAM per ogni progetto, in modo che ogni progetto abbia un insieme di autorizzazioni distinto e non correlato.
Il seguente diagramma mostra una panoramica di come funziona la modalità con spazio dei nomi, in cui ogni progetto è gestito da un account di servizio diverso:
In modalità con spazio dei nomi, ogni account di servizio IAM è associato per impostazione predefinita a uno spazio dei nomi. Quando crei risorse all'interno di quello spazio dei nomi, Config Connector utilizza questo account di servizio per creare risorse Google Cloud. È presente un pod cnrm-controller-manager
Config Connector dedicato per ogni spazio dei nomi che rappresenta l'account di servizio IAM associato allo spazio dei nomi.
Per scoprire come configurare la modalità con spazio dei nomi, consulta Installazione di Config Connector utilizzando una modalità con spazio dei nomi.
Regolare le autorizzazioni dopo l'installazione
Durante l'installazione di Config Connector, potresti aver selezionato un ruolo di base temporaneo e averlo assegnato all'account di servizio per cui hai configurato Config Connector. Se hai configurato Config Connector in modalità con spaziatura dei nomi, potresti avere più di un account di servizio IAM.
Dopo aver completato l'installazione, potrebbe essere necessario rimuovere o aggiornare le autorizzazioni generiche per allinearsi alle best practice e alle considerazioni sulla sicurezza.
Uno dei vantaggi principali di Config Connector è l'unificazione degli strumenti. Ciò significa che puoi utilizzare lo stesso Config Connector per ottimizzare i ruoli e le autorizzazioni IAM. Puoi utilizzare le risorse IAMPolicyMember o IAMPartialPolicy in Config Connector per configurare le autorizzazioni IAM. Questo richiede un account di servizio IAM con autorizzazioni di amministratore per progetti, cartelle o organizzazione. Questo account di servizio deve essere configurato per l'associazione all'installazione di Config Connector tramite la modalità cluster o con spazio dei nomi.
Le sezioni seguenti elencano diversi esempi di criteri che utilizzano Config Connector per gestire le autorizzazioni IAM.
Autorizzazione proprietario dell'organizzazione
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e tutte le cartelle per una determinata organizzazione, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Organization external: ORGANIZATION_ID
Sostituisci quanto segue:
NAMESPACE
con il nome del tuo spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome dell'account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoORGANIZATION_ID
con l'ID organizzazione
Applica il manifest YAML al tuo cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione di tua scelta.
Autorizzazione proprietario della cartella
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e tutte le cartelle in una determinata cartella, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Folder external: folders/FOLDER_ID
Sostituisci quanto segue:
NAMESPACE
con il nome del tuo spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome dell'account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoFOLDER_ID
con l'ID cartella
Applica il manifest YAML al tuo cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione di tua scelta.
Autorizzazioni proprietario del progetto
Per consentire a Config Connector di gestire le risorse di un progetto specifico, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Project external: projects/PROJECT_ID
Sostituisci quanto segue:
NAMESPACE
con il nome del tuo spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome dell'account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoPROJECT_ID
con l'ID progetto di destinazione
Applica il manifest YAML al tuo cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione di tua scelta.
Ruoli predefiniti
Se preferisci concedere autorizzazioni più limitate a Config Connector, puoi assegnare uno o più ruoli IAM all'installazione di Config Connector creando alcune risorse IAMPolicyMember o una risorsa IAMPartialPolicy combinata. All'account di servizio Config Connector vengono solitamente assegnati i ruoli seguenti:
Editor: la concessione del ruolo di editor consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni a livello di progetto o di organizzazione, come le modifiche IAM.
Ruolo Amministratore account di servizio IAM: la concessione delle autorizzazioni
roles/iam.serviceAccountAdmin
consente a Config Connector di configurare gli account di servizio IAM.Resource Manager: la concessione di un ruolo di Resource Manager come
roles/resourcemanager.folderCreator
consente a Config Connector di gestire cartelle e organizzazioni.
Ruoli personalizzati
Se i ruoli predefiniti non soddisfano le tue esigenze, puoi creare ruoli personalizzati con autorizzazioni che definisci tu.
Per scoprire come creare e assegnare ruoli personalizzati, consulta Creazione e gestione di ruoli personalizzati.