Questa pagina è stata tradotta dall'API Cloud Translation.

Tipi di criteri IAM

Identity and Access Management (IAM) offre diversi tipi di criteri per aiutarti a controllare le risorse a cui possono accedere i principali. Questa pagina ti aiuta a comprendere le differenze tra l'utilizzo e la gestione di questi tipi di norme.

Tipi di criteri IAM

IAM offre i seguenti tipi di criteri:

Criteri di autorizzazione
Policy di negazione
Criteri di Principal Access Boundary (PAB)

La seguente tabella riassume le differenze tra questi tipi di norme:

Norme	Funzione criterio	API utilizzata per gestire il criterio	Relazione tra criteri e target	Metodo per collegare i criteri al target	Risorsa padre del criterio
Criteri di autorizzazione	Concedi alle entità l'accesso alle risorse	L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione	Relazione one-to-one Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione	Specifica la risorsa durante la creazione del criterio	Uguale alla risorsa a cui è associato il criterio di autorizzazione
Policy di negazione	Assicurati che le entità non possano utilizzare autorizzazioni specifiche	L'API IAM v2	Relazione one-to-many Ogni criterio di rifiuto è associato a una risorsa; ogni risorsa può avere fino a 500 criteri di rifiuto	Specifica la risorsa quando crei il criterio di rifiuto	Uguale alla risorsa a cui è associata la policy di rifiuto
Criteri PAB	Limitare le risorse a cui un'entità può accedere	L'API IAM v3	Relazione many-to-many Ogni criterio PAB può essere associato a un numero illimitato di set di entità. Ogni set di entità può avere fino a 10 criteri PAB associati.	Crea un'associazione di criteri che colleghi il criterio PAB a un set di entità	L'organizzazione

Norme

Funzione criterio

API utilizzata per gestire il criterio

Relazione tra criteri e target

Metodo per collegare i criteri al target

Risorsa padre del criterio

Criteri di autorizzazione

Concedi alle entità l'accesso alle risorse

L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione

Relazione one-to-one

Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione

Specifica la risorsa durante la creazione del criterio

Uguale alla risorsa a cui è associato il criterio di autorizzazione

Policy di negazione

Assicurati che le entità non possano utilizzare autorizzazioni specifiche

L'API IAM v2

Relazione one-to-many

Ogni criterio di rifiuto è associato a una risorsa; ogni risorsa può avere fino a 500 criteri di rifiuto

Specifica la risorsa quando crei il criterio di rifiuto

Uguale alla risorsa a cui è associata la policy di rifiuto

Criteri PAB

Limitare le risorse a cui un'entità può accedere

L'API IAM v3

Relazione many-to-many

Ogni criterio PAB può essere associato a un numero illimitato di set di entità. Ogni set di entità può avere fino a 10 criteri PAB associati.

Crea un'associazione di criteri che colleghi il criterio PAB a un set di entità

L'organizzazione

Le sezioni seguenti forniscono dettagli su ciascun tipo di norme.

Criteri per concedere l'accesso alle entità

Per concedere alle entità l'accesso alle risorse, utilizza i criteri di autorizzazione IAM.

I criteri di autorizzazione ti consentono di concedere l'accesso alle risorse in Google Cloud. I criteri di autorizzazione sono costituiti da associazioni di ruoli e metadati. Le associazioni di ruoli specificano quali entità devono avere un determinato ruolo nella risorsa.

I criteri di autorizzazione sono sempre associati a una singola risorsa. Dopo aver collegato un criterio di autorizzazione a una risorsa, il criterio viene ereditato dai discendenti della risorsa.

Per creare e applicare un criterio di autorizzazione, identifica una risorsa che accetta i criteri di autorizzazione, quindi utilizza il metodo setIamPolicy della risorsa per creare il criterio di autorizzazione. A tutti gli entità nel criterio allow vengono concessi i ruoli specificati per la risorsa e per tutti i relativi discendenti. A ogni risorsa può essere associato un solo criterio di autorizzazione.

Per ulteriori informazioni sui criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.

Criteri per negare l'accesso agli entità principali

Per negare alle entità l'accesso alle risorse, utilizza i criteri di rifiuto IAM. I criteri di rifiuto IAM sono disponibili nell'API IAM v2.

I criteri di negazione, come i criteri di autorizzazione, sono sempre associati a una singola risorsa. Puoi associare un criterio di rifiuto a un progetto, a una cartella o a un'organizzazione. Questo progetto, questa cartella o questa organizzazione funge anche da elemento principale del criterio nella gerarchia delle risorse. Dopo aver associato un criterio di rifiuto a una risorsa, il criterio viene ereditato dai discendenti della risorsa.

Per creare e applicare i criteri di rifiuto, utilizza l'API IAM v2. Quando crei un criterio di rifiuto, specifichi la risorsa a cui è associato. A tutte le entità nel criterio di rifiuto viene impedito di utilizzare le autorizzazioni specificate per accedere alla risorsa e ai relativi discendenti. A ogni risorsa possono essere associati fino a 500 criteri di rifiuto.

Per saperne di più sui criteri di negazione, consulta Criteri di negazione.

Criteri per limitare le risorse a cui può accedere un'entità

Per limitare le risorse a cui un'entità può accedere, utilizza un criterio di Principal Access Boundary. I criteri di Principal Access Boundary sono disponibili nell'API IAM v3.

Per creare e applicare un criterio di confine dell'accesso dell'entità, devi creare un criterio di confine dell'accesso dell'entità e poi un'associazione del criterio per collegarlo a un insieme di entità.

I criteri di Principal Access Boundary sono sempre secondari della tua organizzazione. Le associazioni di criteri per i criteri di confine dell'accesso dell'entità sono elementi secondari del progetto, della cartella o dell'organizzazione più vicini all'entità impostata a cui fa riferimento l'associazione di criteri.

Ogni associazione di criteri associa un criterio di confine dell'accesso dell'entità a un insieme di entità. Un criterio di confine dell'accesso dell'entità può essere associato a un numero qualsiasi di insiemi di entità. A ogni set di entità può essere associato un massimo di 10 criteri di limite di accesso all'entità. Quando viene eliminata una policy di confine di accesso principale, vengono eliminate anche tutte le associazioni di criteri correlate.

Per ulteriori informazioni sui criteri di Principal Access Boundary, consulta Criteri di Principal Access Boundary.

Valutazione delle norme

Quando un'entità tenta di accedere a una risorsa, IAM valuta tutti i criteri di autorizzazione, di negazione e di confine di accesso dell'entità pertinenti per verificare se l'entità è autorizzata ad accedere alla risorsa. Se uno di questi criteri indica che l'entità non deve essere in grado di accedere alla risorsa, IAM impedisce l'accesso.

In realtà, IAM valuta contemporaneamente tutti i tipi di criteri, poi compila i risultati per determinare se l'entità può accedere alla risorsa. Tuttavia, può essere utile considerare questa valutazione delle norme nelle seguenti fasi:

IAM controlla tutti i criteri di confine di accesso dell'entità pertinenti per verificare se l'entità è idonea ad accedere alla risorsa. Un criterio di confine di accesso dell'entità è pertinente se si verificano le seguenti condizioni:
- Il criterio è associato a un set di entità che include l'entità
- Il criterio di Principal Access Boundary blocca l'autorizzazione che l'entità sta tentando di utilizzare. Le autorizzazioni bloccate da un criterio di Principal Access Boundary dipendono dalla versione del criterio. Specifichi la versione del criterio quando crei il criterio di confine dell'accesso dell'entità. Per maggiori informazioni, consulta le versioni dei criteri di Principal Access Boundary.
Dopo aver controllato le policy di Principal Access Boundary pertinenti, IAM esegue una delle seguenti operazioni:
- Se i criteri di Principal Access Boundary pertinenti non includono la risorsa a cui l'entità sta tentando di accedere, IAM impedisce all'entità di accedere alla risorsa.
- Se i criteri di Principal Access Boundary pertinenti includono la risorsa a cui l'entità sta tentando di accedere, IAM passa al passaggio successivo.
- Se non sono presenti criteri di Principal Access Boundary pertinenti o se IAM non può valutare i criteri di Principal Access Boundary pertinenti, IAM passa al passaggio successivo.
IAM controlla tutti i criteri di rifiuto pertinenti per verificare se all'entità è stata negata l'autorizzazione. I criteri di rifiuto pertinenti sono i criteri di rifiuto associati alla risorsa, nonché eventuali criteri di rifiuto ereditati.
- Se uno di questi criteri di negazione impedisce all'entità di utilizzare un'autorizzazione obbligatoria, IAM impedisce all'entità di accedere alla risorsa.
- Se nessun criterio di rifiuto impedisce al principale di utilizzare un'autorizzazione obbligatoria, IAM passa al passaggio successivo.
IAM controlla tutti i criteri di autorizzazione pertinenti per verificare se l'entità dispone delle autorizzazioni richieste. I criteri di autorizzazione pertinenti sono i criteri di autorizzazione associati alla risorsa, nonché eventuali criteri di autorizzazione ereditati.
- Se l'entità non dispone delle autorizzazioni richieste, IAM impedisce l'accesso alla risorsa.
- Se l'entità dispone delle autorizzazioni richieste, IAM consente di accedere alla risorsa.

Il seguente diagramma mostra questo flusso di valutazione dei criteri:

Flusso di valutazione dei criteri IAM

Passaggi successivi

Scopri di più sui criteri di autorizzazione.
Scopri di più sui criteri di negazione.
Scopri di più sui criteri di Principal Access Boundary.