Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle condizioni IAM

Questa pagina descrive la funzionalità Condizioni di Identity and Access Management (IAM). Puoi utilizzare le condizioni IAM per definire e applicare forzatamente il controllo dell'accesso condizionale basato su attributi per le risorse Google Cloud.

Condizioni e tipi di criteri

Puoi utilizzare le condizioni nei seguenti punti:

Criteri di autorizzazione
Criteri di negazione
Associazioni dei criteri per i criteri di confine dell'accesso dell'entità

Le sezioni seguenti descrivono come utilizzare le condizioni in ciascuno di questi luoghi per applicare il controllo dell'accesso basato sugli attributi.

Condizioni nei criteri di autorizzazione

Nota: non puoi utilizzare le condizioni quando concedi ruoli di base, tra cui Proprietario (roles/owner), Editor (roles/editor) e Visualizzatore (roles/viewer). Inoltre, non puoi utilizzare le condizioni quando concedi ruoli a tutti gli utenti (allUsers) o a tutti gli utenti autenticati (allAuthenticatedUsers).

Puoi utilizzare le condizioni nelle norme di autorizzazione per scegliere di concedere l'accesso alle entità solo se sono soddisfatte le condizioni specificate. Ad esempio, potrebbe concedere accesso temporaneo agli utenti per permettere loro di risolvere un problema di produzione oppure puoi concedere l'accesso solo ai dipendenti che fanno richieste dalla tua azienda in ogni rete.

Le condizioni sono specificate nelle associazioni di ruolo del criterio di autorizzazione di una risorsa. Se l'associazione di ruoli ha una condizione, alle entità del ruolo vengono concesse il ruolo se l'espressione della condizione ha come valore true.

Per aggiungere una condizione a un'associazione di ruoli, devi definire il campo condition:

"bindings": [
  {
    "role": "ROLE",
    "members": [
      "MEMBER_1",
      "MEMBER_2"
    ],
    "condition": {
      "title": "TITLE",
      "description": "DESCRIPTION",
      "expression": "EXPRESSION"
    }
  }
]

Per scoprire di più sui campi di una condizione, consulta Struttura della condizione in questa pagina.

Solo alcuni tipi di risorse accettano condizioni nelle associazioni di ruoli. Tuttavia, puoi concedere l'accesso condizionale ad altri tipi di risorse tramite la concessione di ruoli a livello di organizzazione o di progetto.

Come best practice, non aggiungere più di 100 associazioni di ruoli condizionali a un singolo criterio di autorizzazione. Se utilizzi un numero maggiore di associazioni di ruoli condizionali, potresti superare il limite di dimensioni complessivo per i criteri di autorizzazione.

Per scoprire come aggiungere, modificare e rimuovere le associazioni di ruoli condizionali, consulta Gestire le associazioni di ruoli condizionali.

Condizioni nei criteri di negazione

Puoi utilizzare le condizioni nei criteri di negazione per applicare una regola di negazione solo se viene soddisfatta una determinata condizione. Ad esempio, potresti negare un'autorizzazione solo se la risorsa a cui l'entità sta tentando di accedere è contrassegnata come parte dell'ambiente prod.

Le condizioni sono specificate nelle regole di rifiuto dei criteri di rifiuto di una risorsa. Se la condizione è valutata come true o non può essere valutata, viene applicata la regola di rifiuto e le entità non possono utilizzare le autorizzazioni specificate. Se la condizione restituisce false, la regola di negazione non si applica e le entità possono utilizzare le autorizzazioni specificate, se disponibili.

Per aggiungere una condizione a una regola di rifiuto, definisci il campo denialCondition:

"rules": [
  {
    "denyRule": {
      "deniedPrincipals": [
        "PRINCIPAL_1",
        "PRINCIPAL_2"
      ],
      "exceptionPrincipals": [
        "EXCEPTION_PRINCIPAL_1",
        "EXCEPTION_PRINCIPAL_2"
      ],
      "deniedPermissions": [
        "DENIED_PERMISSION_1",
        "DENIED_PERMISSION_2"
      ],
      "denialCondition": {
        "title": "TITLE",
        "description": "DESCRIPTION",
        "expression": "EXPRESSION"
      }
    }
  }
]

Per scoprire di più sui campi in una condizione, consulta Condizione struttura in questa pagina.

Per scoprire come creare e gestire i criteri di rifiuto, consulta Negare l'accesso.

Condizioni nelle associazioni dei criteri di Principal Access Boundary

Puoi utilizzare le condizioni nelle associazioni di criteri per il limite di accesso all'entità criteri per perfezionare l'insieme di entità il criterio di Principal Access Boundary si applica. Ad esempio, puoi applicare un criterio solo per gli account di servizio o esentare super-admin@example.com da un criterio.

Le condizioni sono specificate in ogni associazione dei criteri. Se un'associazione di criteri ha una condizione, il criterio nell'associazione viene applicato solo se la condizione ha valore true.

Per aggiungere una condizione a un'associazione di criteri, definisci il campo condition nell'associazione di criteri:

{
  "displayName": "DISPLAY_NAME",
  "target": {
    "principalSet": "PRINCIPAL_SET"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "PAB_POLICY",
  "condition": {
    "title": "TITLE",
    "description": "DESCRIPTION",
    "expression": "EXPRESSION"
  }
}

Per scoprire di più sui campi in una condizione, consulta Condizione struttura in questa pagina.

Per scoprire come creare associazioni di criteri per i criteri di Principal Access Boundary, consulta Applica un criterio di Principal Access Boundary a un set di entità.

Struttura della condizione

L'oggetto condition ha la seguente struttura:

"condition": {
    "title": ...,
    "description": ...,
    "expression": ...
}

Il valore title della condizione è obbligatorio, ma il valore description è facoltativo. Entrambi i campi titolo e descrizione sono campi puramente informativi che consentono di identificare che descrive la condizione.

Il campo expression è obbligatorio. definisce un modello basato su attributi espressione logica utilizzando un sottoinsieme del Common Expression Language (CEL). L'espressione della condizione può contenere più istruzioni. ogni istruzione valuta un attributo. Le istruzioni vengono combinate utilizzando operatori logici, secondo la specifica del linguaggio CEL.

CEL per le condizioni

Common Expression Language (CEL) è il linguaggio di espressioni utilizzato per specificare un'espressione nelle condizioni IAM. È personalizzato per esprimere espressioni logiche basate su attributi. Per ulteriori informazioni, consulta Specifiche CEL e relative lingua definizione.

Nelle condizioni IAM, un sottoinsieme di CEL viene utilizzato per rendere le decisioni di autorizzazione in base ai dati degli attributi. In genere, un'espressione di condizione è costituita da una o più istruzioni unite da operatori logici (&&, || o !).

Ogni istruzione esprime una regola di controllo basata su attributi e determina se si applica l'associazione dei ruoli, la regola di negazione o l'associazione dei criteri.

Le condizioni nelle condizioni IAM usano le seguenti funzionalità CEL:

Variabili: le condizioni utilizzano variabili per esprimere un determinato attributo, ad esempio request.time (di tipo Timestamp) o resource.name (di tipo String). Queste variabili vengono completate con un valore in base al contesto in fase di esecuzione.
Operatori: ogni tipo di dati, ad esempio Timestamp o Stringa, supporta un insieme di operatori che possono essere utilizzati per creare un'espressione logica. Più comunemente, gli operatori vengono utilizzati per confrontare il valore contenuto in una variabile con un valore letterale valore, come resource.service == 'compute.googleapis.com'. In questo esempio, se il valore di input di resource.service è compute.googleapis.com, l'espressione assume il valore true.
Funzioni: una funzione è un operatore composto per i tipi di dati che supportano operazioni più complesse. Nelle espressioni con condizioni, ci sono utilizzabili con un determinato tipo di dati. Ad esempio, request.path.startsWith('/finance') utilizza una funzione di corrispondenza del prefisso della stringa e restituisce true se il valore di request.path contiene un prefisso corrispondente, ad esempio /finance.
Operatori logici: le condizioni supportano tre operatori logici che possono essere utilizzati per creare espressioni logiche complesse da istruzioni di espressione di base: &&, || e !. Questi operatori logici consentono di utilizzare più variabili di input in un'espressione della condizione. Ad esempio: request.time.getFullYear() < 2020 && resource.service == 'compute.googleapis.com' unisce due istruzioni di base e richiede che entrambe le istruzioni siano soddisfatte in ordine per produrre un risultato di valutazione complessivo di true.

Per ulteriori informazioni su variabili, operatori e funzioni supportati, consulta riferimento dell'attributo.

Attributi della condizione

Gli attributi condizione si basano sulla risorsa richiesta, ad esempio il tipo o il nome, o sui dettagli della richiesta, ad esempio il timestamp o l'indirizzo IP di destinazione.

Gli attributi delle condizioni che puoi utilizzare in un'espressione di condizione dipendono dal tipo di criterio per cui stai scrivendo le condizioni. Per un elenco completo degli attributi delle condizioni e per saperne di più sugli attributi supportati per ogni tipo di criterio, consulta la documentazione di riferimento relativa agli attributi.

Le sezioni seguenti mostrano esempi di alcuni degli attributi che puoi utilizzare nelle condizioni.

Attributi risorsa

Puoi utilizzare gli attributi della risorsa per scrivere condizioni che valutano la risorsa nella richiesta di accesso. Gli attributi che puoi valutare includono quanto segue:

Il tipo di risorsa
Nome della risorsa
Il servizio Google Cloud utilizzato
I tag associati alla risorsa

Per un elenco completo degli attributi delle risorse, consulta riferimento degli attributi delle risorse.

Per scoprire come utilizzare gli attributi delle risorse per configurare l'accesso basato sulle risorse, consulta Configurazione dell'accesso basato sulle risorse.

Espressioni di esempio

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso alle istanze VM di Compute Engine, ma nessun altro tipo di risorsa:

resource.type == 'compute.googleapis.com/Instance'

In un'associazione di ruoli, la seguente espressione di condizione consente l'accesso alle risorse di Cloud Storage, ma non alle risorse di altri servizi:

resource.service == 'storage.googleapis.com'

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso solo agli oggetti Cloud Storage all'interno di un bucket specifico:

resource.type == 'storage.googleapis.com/Object' &&
resource.name.startsWith('projects/_/buckets/exampleco-site-assets/')

In una regola di rifiuto, la seguente espressione di condizione nega l'accesso alle risorse Google Cloud con il tag env: prod:

resource.matchTag('123456789012/env', 'prod')

Attributi entità

Gli attributi principali ti consentono di scrivere condizioni in base all'entità che ha emesso la richiesta. Gli attributi che puoi valutare includono:

Il tipo di entità nella richiesta
Identità dell'entità nella richiesta

Per maggiori dettagli, consulta l'attributo condizioni riferimento.

Espressioni di esempio

In un'associazione dei criteri di Principal Access Boundary, la seguente espressione della condizione garantisce che il criterio nell'associazione venga applicato in modo forzato solo agli account di servizio:

principal.type == 'iam.googleapis.com/ServiceAccount'

In un'associazione di criteri di confine dell'accesso dell'entità, la seguente espressione di condizione garantisce che il criterio nell'associazione non venga applicato per super-admin@example.com:

principal.subject != 'super-admin@example.com'

Attributi della richiesta

Puoi utilizzare gli attributi di richiesta per scrivere condizioni che valutano i dettagli la richiesta, ad esempio:

Il livello di accesso
Data e ora
Indirizzo IP e porta di destinazione (per il tunneling TCP IAP)
L'host o il percorso dell'URL previsto (per IAP)

Esempio di espressione del livello di accesso (solo per IAP)

Nell'esempio seguente, la tua organizzazione definisce un livello di accesso, CorpNet, che limita l'accesso all'intervallo di indirizzi IP in cui il traffico entra ed esce da un rete aziendale. Quindi, aggiungi la seguente espressione di condizione a un ruolo associazione per consentire l'accesso solo se la richiesta soddisfa il livello di accesso CorpNet:

'accessPolicies/199923665455/accessLevels/CorpNet' in
request.auth.access_levels

La tua organizzazione definisce i livelli di accesso in base agli attributi della richiesta, ad esempio l'indirizzo IP di origine, gli attributi del dispositivo, l'ora del giorno e altro ancora. Per maggiori dettagli, consulta la documentazione di Gestore contesto accesso.

Esempio di espressione di attributo API

Nell'associazione di un ruolo per un ruolo con iam.projects.setIamPolicy l'autorizzazione, la seguente espressione della condizione consente a un utente di concedere e revocare solo il ruolo Amministratore account di fatturazione (roles/billing.admin) nella progetto:

api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', [])
                 .hasOnly(['roles/billing.admin'])

Per scoprire di più sull'utilizzo degli attributi API per limitare la concessione dei ruoli, consulta Impostare limiti alla concessione dei ruoli.

Esempi di espressioni di data/ora

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso fino alla mezzanotte del 1° gennaio 2021:

request.time < timestamp('2021-01-01T00:00:00Z')

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso solo durante l'orario di lavoro specificato, in base al fuso orario di Berlino, Germania:

request.time.getHours('Europe/Berlin') >= 9 &&
request.time.getHours('Europe/Berlin') <= 17 &&
// Days of the week range from 0 to 6, where 0 == Sunday and 6 == Saturday.
request.time.getDayOfWeek('Europe/Berlin') >= 1 &&
request.time.getDayOfWeek('Europe/Berlin') <= '

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso solo per il mese di giugno 2020, in base al fuso orario di Berlino, Germania:

request.time.getFullYear('Europe/Berlin') == 2020
request.time.getMonth('Europe/Berlin') < 6

Per specificare un timestamp, utilizza il formato RFC 3339. Per specificare un fuso orario, utilizza gli identificatori nella Database di fusi orari IANA.

Per ulteriori dettagli sulle espressioni con data/ora, consulta Specifiche CEL.

Per scoprire come utilizzare le espressioni di data/ora per configurare l'accesso temporaneo, consulta Configurare l'accesso temporaneo.

Esempi di espressioni di porta e di IP di destinazione (per il tunneling TCP IAP)

In un'associazione di ruoli, la seguente espressione di condizione consente l'accesso a un indirizzo IP di destinazione o a un numero di porta interno:

destination.ip == '14.0.0.1'
destination.ip != '127.0.0.1'
destination.port == 22
destination.port > 21 && destination.port <= 23

Esempi di espressioni delle regola di forwarding

In un'associazione di ruoli, la seguente espressione di condizione consente l'accesso per un'entità se la richiesta non crea una regola di inoltro o se la richiesta crea una regola di inoltro per un bilanciatore del carico Google Cloud interno:

!compute.isForwardingRuleCreationOperation() || (
  compute.isForwardingRuleCreationOperation() &&
  compute.matchLoadBalancingSchemes([
    'INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'
  ])
)

Per maggiori dettagli sugli schemi di bilanciamento del carico, consulta Utilizzo delle condizioni IAM sui bilanciatori del carico Google Cloud.

Esempi di espressioni di percorso o host di URL (per IAP)

In un'associazione di ruolo, la seguente espressione di condizione consente l'accesso solo per determinati sottodomini o percorsi dell'URL nella richiesta:

request.host == 'hr.example.com'
request.host.endsWith('.example.com')
request.path == '/admin/payroll.js'
request.path.startsWith('/admin')

Espressione di esempio con diversi tipi di attributi

In un'associazione di ruoli, la seguente espressione di condizione consente l'accesso se la richiesta viene effettuata in un momento specifico, corrisponde a un prefisso del nome della risorsa, con il livello di accesso scelto e per un tipo di risorsa specifico:

request.time > timestamp('2018-08-03T16:00:00-07:00') &&
request.time < timestamp('2018-08-03T16:05:00-07:00') &&
((resource.name.startsWith('projects/project-123/zones/us-east1-b/instances/dev') ||
 (resource.name.startsWith('projects/project-123/zones/us-east1-b/instances/prod') &&
  'accessPolicies/34569256/accessLevels/CorpNet' in request.auth.access_levels)) ||
 resource.type != 'compute.googleapis.com/Instance')

Passaggi successivi

Visualizza i dettagli sugli attributi condizione che puoi utilizzare per gestire l'accesso.
Scopri di più sui criteri di autorizzazione.
Trova tipi di risorse che accettano associazioni di ruoli condizionali.