Controllo dell'accesso con IAM

Questo argomento descrive come utilizzare Identity and Access Management per controllare in che modo Config Connector può creare e gestire le risorse. Google Cloud

Per installare Config Connector, esegui l'autenticazione creando un account di servizio IAM e poi utilizzando la federazione delle identità per i carichi di lavoro per GKE per associare gli account di servizio IAM agli account di servizio Kubernetes. IAM consente a Config Connector di intervenire su risorse specifiche. Se limiti le autorizzazioni assegnate ai tuoi account di servizio, hai un maggiore controllo sui tipi di risorse che Config Connector può creare.

Puoi scegliere di gestire le risorse con un singolo account di servizio o con più account di servizio.

Un unico account di servizio

Quando installi Config Connector con il componente aggiuntivo GKE o con l'installazione manuale, puoi impostare la modalità cluster in ConfigConnector CustomResource. Con la modalità cluster, puoi utilizzare un singolo account di servizio IAM per creare e gestire le risorse, anche se utilizzi Config Connector per gestire più progetti.

Il seguente diagramma mostra come funziona questa modalità, in cui lo stesso account servizio gestisce due progetti:

Diagramma che mostra Config Connector che gestisce più progetti utilizzando lo stesso account di servizio

Più account di servizio

Puoi utilizzare più account di servizio impostando la modalità con spazi dei nomi nel ConfigConnector CustomResource. La modalità con spazi dei nomi ti consente di suddividere le autorizzazioni in base alle rispettive esigenze di diversi account di servizio IAM e di isolare le autorizzazioni tra diversi spazi dei nomi Kubernetes, poiché puoi associare un account di servizio diverso per ogni spazio dei nomi.

Scegli la modalità con spazio dei nomi se:

  • Vuoi isolare le autorizzazioni IAM a livello di spazio dei nomi Kubernetes.
  • Dovresti gestire un numero elevato di Google Cloud risorse di più Google Cloud progetti in un unico cluster.

Ad esempio, puoi creare un account di servizio IAM per ogni progetto, organizzare le risorse di ogni progetto nello stesso spazio dei nomi Kubernetes e poi associare l'account di servizio IAM corrispondente allo spazio dei nomi Kubernetes. In questo modo puoi separare le autorizzazioni IAM per ciascun progetto in modo che ogni progetto abbia un insieme distinto e non correlato di autorizzazioni.

Il seguente diagramma mostra una panoramica del funzionamento della modalità con spazi dei nomi, in cui ogni progetto è gestito da un service account diverso:

Diagramma che mostra Config Connector che gestisce più progetti utilizzando due account servizio diversi

In modalità con spazi dei nomi, ogni account di servizio IAM è associato a un spazio dei nomi per impostazione predefinita. Quando crei risorse all'interno di questo spazio dei nomi, Config Connector utilizza questo account di servizio per creare Google Cloud risorse. Esiste un pod cnrm-controller-manager Config Connector dedicato per ogni spazio dei nomi che sostituisce l'account di servizio IAM associato allo spazio dei nomi.

Per scoprire come configurare la modalità con spazi dei nomi, consulta Installare Config Connector utilizzando una modalità con spazi dei nomi.

Modificare le autorizzazioni dopo l'installazione

Durante l'installazione di Config Connector, potresti aver selezionato un ruolo di base temporaneo e averlo assegnato al service account per cui hai configurato Config Connector. Se hai configurato Config Connector in modalità con nome di spazio, potresti avere più di un account di servizio IAM.

Dopo aver completato l'installazione, potrebbe essere necessario rimuovere o aggiornare le autorizzazioni ampie in modo che siano in linea con le considerazioni sulla sicurezza e le best practice.

Uno dei vantaggi principali di Config Connector è l'utilizzo di strumenti unificati. Ciò significa che puoi utilizzare Config Connector stesso per perfezionare i ruoli e le autorizzazioni IAM. Puoi utilizzare le risorse IAMPolicyMember o IAMPartialPolicy in Config Connector per configurare le autorizzazioni IAM. Per farlo, è necessario un account di servizio IAM con autorizzazioni di amministratore nei progetti, nelle cartelle o nell'organizzazione. Questo account di servizio deve essere configurato per l'associazione all'installazione di Config Connector tramite la modalità cluster o la modalità con nome nello spazio dei nomi.

Le sezioni seguenti elencano diversi esempi di criteri che utilizzano Config Connector per gestire le autorizzazioni IAM.

Autorizzazione del proprietario dell'organizzazione

Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le maschere per una determinata organizzazione, completa i seguenti passaggi:

  1. Crea il seguente manifest YAML:

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Organization
   external: ORGANIZATION_ID

    Sostituisci quanto segue:

    • NAMESPACE con il nome dello spazio dei nomi
    • SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio
    • HOST_PROJECT_ID con l'ID progetto host del tuo account di servizio
    • roles/owner con il ruolo appropriato
    • ORGANIZATION_ID con l'ID organizzazione

  2. Applica il manifest YAML al cluster utilizzando kubectl o qualsiasi strumento di gestione della configurazione a tua scelta.

Autorizzazione proprietario della cartella

Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle in una determinata cartella, completa i seguenti passaggi:

  1. Crea il seguente manifest YAML:

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Folder
   external: folders/FOLDER_ID

    Sostituisci quanto segue:

    • NAMESPACE con il nome dello spazio dei nomi
    • SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio
    • HOST_PROJECT_ID con l'ID progetto host del tuo account di servizio
    • roles/owner con il ruolo appropriato
    • FOLDER_ID con il tuo ID cartella

  2. Applica il manifest YAML al cluster utilizzando kubectl o qualsiasi strumento di gestione della configurazione a tua scelta.

Autorizzazioni del proprietario del progetto

Per consentire a Config Connector di gestire le risorse di un progetto specifico, completa i seguenti passaggi:

  1. Crea il seguente manifest YAML:

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Project
   external: projects/PROJECT_ID

    Sostituisci quanto segue:

    • NAMESPACE con il nome dello spazio dei nomi
    • SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio
    • HOST_PROJECT_ID con l'ID progetto host del tuo account di servizio
    • roles/owner con il ruolo appropriato
    • PROJECT_ID con l'ID progetto di destinazione

  2. Applica il manifest YAML al cluster utilizzando kubectl o qualsiasi strumento di gestione della configurazione a tua scelta.

Ruoli predefiniti

Se preferisci concedere autorizzazioni più limitate a Config Connector, puoi assegnare uno o più ruoli IAM all'installazione di Config Connector creando alcune risorse IAMPolicyMember o una risorsa IAMPartialPolicy combinata. I seguenti ruoli vengono comunemente assegnati all'account di servizio Config Connector:

  • Editor: la concessione del ruolo editor consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni a livello di progetto o organizzazione, come le modifiche IAM.

  • Ruolo Amministratore account di servizio IAM: la concessione delle autorizzazioni roles/iam.serviceAccountAdmin consente a Config Connector di configurare gli account di servizio IAM.

  • Resource Manager: la concessione di un ruolo Resource Manager come roles/resourcemanager.folderCreator consente a Config Connector di gestire cartelle e organizzazioni.

Ruoli personalizzati

Se i ruoli predefiniti non soddisfano le tue esigenze, puoi creare ruoli personalizzati con le autorizzazioni che definisci.

Per scoprire come creare e assegnare ruoli personalizzati, consulta Creare e gestire ruoli personalizzati.

Passaggi successivi