Creare un ruolo personalizzato

Questa pagina descrive come creare e gestire ruoli personalizzati in Google Distributed Cloud (GDC) air-gapped. I ruoli personalizzati ti consentono di gestire l'accesso oltre gli insiemi di autorizzazioni standard disponibili nei ruoli predefiniti, consentendoti di configurare le autorizzazioni in base ai tuoi criteri specifici.

I ruoli personalizzati seguono il principio del privilegio minimo e sono utili per concedere l'accesso minimo richiesto per le attività sensibili, mitigando i rischi per la sicurezza e prevenendo i conflitti di interesse.

La creazione di un ruolo personalizzato ti consente di:

  • Definisci l'ambito di accesso: scegli di applicare le autorizzazioni all'intera organizzazione, a tutti i progetti o di limitarle a progetti specifici.
  • Personalizza l'accesso granulare: seleziona una o più autorizzazioni già disponibili tramite ruoli predefiniti per personalizzare l'accesso a responsabilità o attività specifiche.

Per ulteriori informazioni, consulta le sezioni Descrizioni dei ruoli predefiniti e Definizioni dei ruoli.

Prima di iniziare

L'accesso ai ruoli personalizzati viene gestito a livello di organizzazione e progetto. L'accesso al ruolo personalizzato può essere concesso solo all'interno della stessa organizzazione o dello stesso progetto in cui è stato creato.

Per disporre delle autorizzazioni necessarie per creare e gestire ruoli personalizzati, chiedi all'amministratore di concederti uno dei seguenti ruoli:

  • Amministratore dell'organizzazione con ruolo personalizzato

    Crea e gestisce ruoli personalizzati all'interno di un'organizzazione o di un progetto. Questo ruolo include la possibilità di aggiornare, elencare, visualizzare, disattivare ed eliminare i ruoli personalizzati.

    Gli utenti amministratore IAM dell'organizzazione possono concedere questo ruolo.

  • Amministratore progetto con ruolo personalizzato

    Crea e gestisce ruoli personalizzati all'interno di un progetto. Questo ruolo include la possibilità di aggiornare, elencare, visualizzare, disattivare ed eliminare i ruoli personalizzati.

    Gli utenti amministratore IAM del progetto possono concedere questo ruolo.

Scopri di più sull'assegnazione delle autorizzazioni dei ruoli per organizzazioni e progetti.

Creare un ruolo personalizzato

Un ruolo personalizzato è un gruppo di autorizzazioni che puoi assegnare agli utenti. Puoi creare un nuovo ruolo personalizzato raggruppando le autorizzazioni dei ruoli predefiniti. I ruoli personalizzati ereditano le funzionalità multizona di IAM dei ruoli predefiniti su cui si basano.

Crea un ruolo personalizzato utilizzando la console GDC o gcloud CLI:

Console

  1. Accedi alla console GDC.
  2. Nel selettore di progetti, seleziona l'organizzazione o il progetto in cui vuoi creare un ruolo personalizzato.
  3. Nel menu di navigazione, fai clic su Identity & Access Management > Ruoli.
  4. Fai clic su Crea ruolo personalizzato.
  5. Nel campo Titolo, inserisci il titolo del ruolo personalizzato.
  6. Nel campo Descrizione, fornisci una descrizione dello scopo del ruolo personalizzato.

  7. Nel campo ID, inserisci l'identificatore univoco per il tuo ruolo personalizzato.

    Gli ID ruolo personalizzati possono contenere fino a 10 caratteri alfanumerici minuscoli e non possono essere modificati dopo la creazione del ruolo.

  8. Seleziona una Fase di lancio.

  9. Seleziona l'ambito del ruolo personalizzato.

    Se selezioni Organizzazione, il ruolo personalizzato viene applicato a tutte le risorse dell'organizzazione. Se selezioni Progetti, il ruolo personalizzato viene applicato a tutti i progetti attuali e futuri dell'organizzazione. Puoi selezionare Limita ai progetti selezionati se vuoi specificare a quali progetti può accedere il ruolo personalizzato.

  10. Fai clic su Aggiungi autorizzazioni.

  11. Seleziona la casella di controllo accanto a una o più autorizzazioni supportate che vuoi assegnare al ruolo personalizzato.

    Le autorizzazioni disponibili sono limitate all'ambito selezionato. Se modifichi l'ambito dopo aver aggiunto le autorizzazioni, devi confermare che tutte le autorizzazioni assegnate in precedenza vengano reimpostate.

  12. Fai clic su Salva.

  13. Fai clic su Crea.

    Il nuovo ruolo personalizzato viene visualizzato nella pagina Ruoli.

gdcloud

  1. Assicurati di aver installato gcloud CLI. Per saperne di più, consulta la pagina Panoramica di gcloud CLI.

  2. Per creare un ruolo personalizzato:

    gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Sostituisci i seguenti elementi obbligatori:

    • ROLE_ID: l'identificatore univoco del tuo ruolo personalizzato. Gli ID ruolo personalizzato possono contenere fino a 10 caratteri alfanumerici minuscoli e possono contenere trattini e punti. Gli ID ruolo personalizzati non possono essere modificati dopo la creazione del ruolo.
    • TITLE: un titolo intuitivo per il ruolo personalizzato.
    • DESCRIPTION: una descrizione dello scopo del ruolo personalizzato.
    • PERMISSIONS: un elenco di autorizzazioni supportate concesse per il ruolo personalizzato.

    In alternativa, puoi definire il ruolo personalizzato in un file YAML e utilizzare il flag --file:

    gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH

    Sostituisci YAML_FILE_PATH con il percorso del file YAML contenente i flag obbligatori e facoltativi. Se utilizzi il flag --file, tutti gli altri flag come --title, --description e --permissions vengono ignorati.

    Consulta gdcloud iam roles create per un elenco completo dei flag obbligatori e facoltativi, nonché esempi di utilizzo.

Gestire un ruolo personalizzato

Sei responsabile della gestione del ciclo di vita dei tuoi ruoli personalizzati. Quando Distributed Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, aggiorna i ruoli predefiniti. Aggiornamenti come l'eliminazione di un ruolo predefinito o la rimozione delle autorizzazioni da un ruolo predefinito possono rendere non funzionali i ruoli personalizzati che si basano su queste autorizzazioni. Devi monitorare questi aggiornamenti e modificare manualmente i ruoli personalizzati interessati per assicurarti che continuino a funzionare come previsto.

Puoi modificare, disattivare o eliminare un ruolo personalizzato, ma non puoi modificare, disattivare o eliminare un ruolo predefinito.

Visualizzare un elenco di ruoli

Visualizza un elenco dei ruoli predefiniti e personalizzati disponibili utilizzando la console GDC o gcloud CLI:

Console

  1. Accedi alla console GDC.
  2. Nel selettore di progetti, seleziona l'organizzazione o il progetto in cui vuoi visualizzare i ruoli.

  3. Nel menu di navigazione, fai clic su Identity & Access Management > Ruoli.

    Viene visualizzato un elenco di ruoli predefiniti e personalizzati disponibili.

gdcloud

  1. Assicurati di aver installato gcloud CLI. Per saperne di più, consulta la pagina Panoramica di gcloud CLI.

  2. Elenco dei ruoli:

    gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT

    Sostituisci i seguenti elementi:

    • ROLE_TYPE: predefined, custom o all.
    • PROJECT: lo spazio dei nomi del progetto in cui vuoi visualizzare i ruoli. Se il flag --project non è specificato, vengono elencati i ruoli con ambito organizzazione.

    Per ulteriori informazioni ed esempi di utilizzo, consulta gdcloud iam roles list.

Modifica di un ruolo personalizzato

Modifica un ruolo personalizzato utilizzando la console GDC o la CLI gdcloud:

Console

  1. Accedi alla console GDC.
  2. Nel selettore di progetti, seleziona l'organizzazione o il progetto in cui vuoi modificare un ruolo personalizzato.
  3. Nel menu di navigazione, fai clic su Identity & Access Management > Ruoli.
  4. Dall'elenco dei ruoli, seleziona il ruolo personalizzato che vuoi modificare.
  5. Nella pagina dei dettagli del ruolo personalizzato, fai clic su Modifica.
  6. Modifica i dettagli del ruolo personalizzato, ad esempio titolo, descrizione, ID o fase di lancio.
  7. Se vuoi, aggiungi o rimuovi le autorizzazioni assegnate.
    1. Fai clic su Aggiungi autorizzazioni per selezionare un'opzione dall'elenco delle autorizzazioni disponibili.
    2. Per rimuovere un'autorizzazione assegnata, seleziona la casella di controllo accanto all'autorizzazione da rimuovere e fai clic su Rimuovi.

  8. Fai clic su Salva.

    Viene visualizzato un messaggio che conferma le modifiche salvate.

gdcloud

  1. Assicurati di aver installato gcloud CLI. Per saperne di più, consulta la pagina Panoramica di gcloud CLI.

  2. Per modificare un ruolo personalizzato:

    gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Sostituisci i seguenti elementi obbligatori:

    • ROLE_ID: l'identificatore univoco del tuo ruolo personalizzato.
    • TITLE: un titolo intuitivo per il ruolo personalizzato.
    • DESCRIPTION: una descrizione dello scopo del ruolo personalizzato.
    • PERMISSIONS: un elenco di autorizzazioni supportate concesse per il ruolo personalizzato.

    In alternativa, puoi aggiornare il ruolo personalizzato nel relativo file YAML e utilizzare il flag --file:

    gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH

    Sostituisci YAML_FILE_PATH con il percorso del file YAML contenente i flag obbligatori e facoltativi aggiornati. Se utilizzi il flag --file, tutti gli altri flag come --title, --description e --permissions vengono ignorati.

    Consulta gdcloud iam roles update per un elenco completo dei flag obbligatori e facoltativi, nonché esempi di utilizzo.

Disabilitare un ruolo personalizzato

I ruoli personalizzati disattivati rimangono nell'elenco dei ruoli e possono comunque essere assegnati agli utenti, ma non hanno alcun effetto. Puoi riattivare il ruolo personalizzato in qualsiasi momento.

Disattiva un ruolo personalizzato utilizzando la console GDC o gcloud CLI:

Console

  1. Accedi alla console GDC.
  2. Nel selettore di progetti, seleziona l'organizzazione o il progetto in cui vuoi disattivare un ruolo personalizzato.
  3. Nel menu di navigazione, fai clic su Identity & Access Management > Ruoli.
  4. Nell'elenco dei ruoli, seleziona il ruolo personalizzato che vuoi disabilitare.
  5. Nella pagina dei dettagli del ruolo personalizzato, fai clic su Disattiva.

gdcloud

  1. Assicurati di aver installato gcloud CLI. Per saperne di più, consulta la pagina Panoramica di gcloud CLI.

  2. Per disattivare un ruolo personalizzato:

    gdcloud iam roles update ROLE_ID --stage=DISABLED

    Sostituisci il seguente elemento obbligatorio:

    • ROLE_ID: l'identificatore univoco del tuo ruolo personalizzato.

    Per ulteriori informazioni, consulta gdcloud iam roles update.

Eliminazione di un ruolo personalizzato

L'eliminazione di un ruolo personalizzato è supportata solo tramite gcloud CLI. I ruoli eliminati vengono rimossi definitivamente dal sistema, ma puoi crearne uno nuovo con lo stesso nome.

Elimina un ruolo personalizzato utilizzando gcloud CLI:

  1. Assicurati di aver installato gcloud CLI. Per saperne di più, consulta la pagina Panoramica di gcloud CLI.

  2. Elimina un ruolo personalizzato:

    gdcloud iam roles delete ROLE_ID --project=PROJECT

    Sostituisci quanto segue:

    • ROLE_ID: l'identificatore univoco del tuo ruolo personalizzato.
    • PROJECT: lo spazio dei nomi del progetto in cui vuoi eliminare il ruolo personalizzato. Se il flag --project non è specificato, il ruolo con ambito organizzazione viene eliminato.

    Per ulteriori informazioni ed esempi di utilizzo, vedi gdcloud iam roles delete.