Controllo dell'accesso con IAM
Questo argomento descrive come utilizzare Identity and Access Management per controllare in che modo Config Connector può creare e gestire le risorse. Google Cloud
Per installare Config Connector, esegui l'autenticazione creando un account di servizio IAM e poi utilizzando la federazione delle identità per i carichi di lavoro per GKE per associare gli account di servizio IAM agli account di servizio Kubernetes. IAM consente a Config Connector di intervenire su risorse specifiche. Se limiti le autorizzazioni assegnate ai tuoi account di servizio, hai un maggiore controllo sui tipi di risorse che Config Connector può creare.
Puoi scegliere di gestire le risorse con un singolo account di servizio o con più account di servizio.
Un unico account di servizio
Quando installi Config Connector con il componente aggiuntivo GKE o con l'installazione manuale, puoi impostare la modalità cluster in ConfigConnector
CustomResource.
Con la modalità cluster, puoi utilizzare un singolo account di servizio IAM per creare e gestire le risorse, anche se utilizzi Config Connector per gestire più progetti.
Il seguente diagramma mostra come funziona questa modalità, in cui lo stesso account servizio gestisce due progetti:
Più account di servizio
Puoi utilizzare più account di servizio impostando la modalità con spazi dei nomi nel
ConfigConnector
CustomResource.
La modalità con spazi dei nomi ti consente di suddividere le autorizzazioni in base alle rispettive esigenze di diversi account di servizio IAM e di isolare le autorizzazioni tra diversi spazi dei nomi Kubernetes, poiché puoi associare un account di servizio diverso per ogni spazio dei nomi.
Scegli la modalità con spazio dei nomi se:
- Vuoi isolare le autorizzazioni IAM a livello di spazio dei nomi Kubernetes.
- Dovresti gestire un numero elevato di Google Cloud risorse di più Google Cloud progetti in un unico cluster.
Ad esempio, puoi creare un account di servizio IAM per ogni progetto, organizzare le risorse di ogni progetto nello stesso spazio dei nomi Kubernetes e poi associare l'account di servizio IAM corrispondente allo spazio dei nomi Kubernetes. In questo modo puoi separare le autorizzazioni IAM per ciascun progetto in modo che ogni progetto abbia un insieme distinto e non correlato di autorizzazioni.
Il seguente diagramma mostra una panoramica del funzionamento della modalità con spazi dei nomi, in cui ogni progetto è gestito da un service account diverso:
In modalità con spazi dei nomi, ogni account di servizio IAM è associato a un
spazio dei nomi per impostazione predefinita. Quando crei risorse all'interno di questo spazio dei nomi,
Config Connector utilizza questo account di servizio per creare Google Cloud
risorse. Esiste un pod cnrm-controller-manager
Config Connector dedicato per ogni spazio dei nomi che sostituisce l'account di servizio IAM associato allo spazio dei nomi.
Per scoprire come configurare la modalità con spazi dei nomi, consulta Installare Config Connector utilizzando una modalità con spazi dei nomi.
Modificare le autorizzazioni dopo l'installazione
Durante l'installazione di Config Connector, potresti aver selezionato un ruolo di base temporaneo e averlo assegnato al service account per cui hai configurato Config Connector. Se hai configurato Config Connector in modalità con nome di spazio, potresti avere più di un account di servizio IAM.
Dopo aver completato l'installazione, potrebbe essere necessario rimuovere o aggiornare le autorizzazioni ampie in modo che siano in linea con le considerazioni sulla sicurezza e le best practice.
Uno dei vantaggi principali di Config Connector è l'utilizzo di strumenti unificati. Ciò significa che puoi utilizzare Config Connector stesso per perfezionare i ruoli e le autorizzazioni IAM. Puoi utilizzare le risorse IAMPolicyMember o IAMPartialPolicy in Config Connector per configurare le autorizzazioni IAM. Per farlo, è necessario un account di servizio IAM con autorizzazioni di amministratore nei progetti, nelle cartelle o nell'organizzazione. Questo account di servizio deve essere configurato per l'associazione all'installazione di Config Connector tramite la modalità cluster o la modalità con nome nello spazio dei nomi.
Le sezioni seguenti elencano diversi esempi di criteri che utilizzano Config Connector per gestire le autorizzazioni IAM.
Autorizzazione del proprietario dell'organizzazione
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le maschere per una determinata organizzazione, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Organization external: ORGANIZATION_ID
Sostituisci quanto segue:
NAMESPACE
con il nome dello spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome del tuo account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoORGANIZATION_ID
con l'ID organizzazione
Applica il manifest YAML al cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione a tua scelta.
Autorizzazione proprietario della cartella
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle in una determinata cartella, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Folder external: folders/FOLDER_ID
Sostituisci quanto segue:
NAMESPACE
con il nome dello spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome del tuo account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoFOLDER_ID
con il tuo ID cartella
Applica il manifest YAML al cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione a tua scelta.
Autorizzazioni del proprietario del progetto
Per consentire a Config Connector di gestire le risorse di un progetto specifico, completa i seguenti passaggi:
Crea il seguente manifest YAML:
apiVersion: iam.cnrm.cloud.google.com/v1beta1 kind: IAMPolicyMember metadata: name: iampolicymember-orglevel-permission namespace: NAMESPACE spec: member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com role: roles/owner resourceRef: kind: Project external: projects/PROJECT_ID
Sostituisci quanto segue:
NAMESPACE
con il nome dello spazio dei nomiSERVICE_ACCOUNT_NAME
con il nome del tuo account di servizioHOST_PROJECT_ID
con l'ID progetto host del tuo account di servizioroles/owner
con il ruolo appropriatoPROJECT_ID
con l'ID progetto di destinazione
Applica il manifest YAML al cluster utilizzando
kubectl
o qualsiasi strumento di gestione della configurazione a tua scelta.
Ruoli predefiniti
Se preferisci concedere autorizzazioni più limitate a Config Connector, puoi assegnare uno o più ruoli IAM all'installazione di Config Connector creando alcune risorse IAMPolicyMember o una risorsa IAMPartialPolicy combinata. I seguenti ruoli vengono comunemente assegnati all'account di servizio Config Connector:
Editor: la concessione del ruolo editor consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni a livello di progetto o organizzazione, come le modifiche IAM.
Ruolo Amministratore account di servizio IAM: la concessione delle autorizzazioni
roles/iam.serviceAccountAdmin
consente a Config Connector di configurare gli account di servizio IAM.Resource Manager: la concessione di un ruolo Resource Manager come
roles/resourcemanager.folderCreator
consente a Config Connector di gestire cartelle e organizzazioni.
Ruoli personalizzati
Se i ruoli predefiniti non soddisfano le tue esigenze, puoi creare ruoli personalizzati con le autorizzazioni che definisci.
Per scoprire come creare e assegnare ruoli personalizzati, consulta Creare e gestire ruoli personalizzati.