Questa pagina descrive le identità predefinite per le risorse, che ti consentono di concedere ruoli alle risorse nei criteri di autorizzazione IAM.
Identità integrate
Alcune risorse hanno identità integrate. Queste identità consentono alle risorse di comportarsi come entità. Di conseguenza, le risorse con identità integrate possono:
- Ricevere ruoli IAM utilizzando l'identificatore principale della risorsa
- Accedere ad altre risorse senza utilizzare gli agenti di servizio
Ad esempio, considera i parametri di Parameter Manager, che hanno identità predefinite. A volte i parametri devono accedere a Secret Manager per funzionare correttamente. Per consentire a un parametro di accedere a Secret Manager, utilizza il suo identificatore per concedergli il ruolo Secret Manager Secret Accessor (roles/secretmanager.secretAccessor). In questo modo, il parametro potrà accedere ai secret di Secret Manager per tuo conto.
Per un elenco delle risorse con identità integrate, consulta Risorse con identità integrate.
Non puoi utilizzare l'identità integrata di una risorsa per autenticare i workload gestiti dal cliente, ad esempio i workload in esecuzione sulle istanze Compute Engine. Se devi autenticare un carico di lavoro, utilizza uno dei metodi descritti in Metodi di autenticazione di Google.
Assegnare ruoli alle risorse con identità integrate
Se una risorsa ha un'identità integrata, puoi concedere i ruoli alla risorsa includendo l'identificatore dell'entità della risorsa nei tuoi criteri di autorizzazione. Per sapere quale formato utilizzare per l'identificatore principale di ogni risorsa, consulta Identificatori principali per le singole risorse.
IAM offre anche identificatori per insiemi di risorse con identità predefinite che condividono determinate caratteristiche, come il tipo o l'antenato. Puoi utilizzare questi identificatori nei criteri di autorizzazione per concedere lo stesso ruolo a più risorse. Per scoprire quali formati sono supportati, consulta Identificatori principali per insiemi di risorse.