Questa pagina è stata tradotta dall'API Cloud Translation.

Tipi di criteri IAM

Identity and Access Management (IAM) offre diversi tipi di criteri per aiutarti a controllare le risorse a cui possono accedere i principali. Questa pagina ti aiuta a comprendere le differenze tra il modo in cui utilizzi e gestisci questi tipi di criteri.

Tipi di criteri IAM

IAM offre i seguenti tipi di criteri:

Criteri di autorizzazione
Criteri di negazione
Criteri di Principal Access Boundary (PAB)

La tabella seguente riassume le differenze tra questi tipi di norme:

Norme	Funzione criterio	API utilizzata per gestire il criterio	Relazione tra criteri e target	Metodo di collegamento dei criteri alla destinazione	Risorsa padre del criterio
Criteri di autorizzazione	Concedi alle entità l'accesso alle risorse	L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione	Relazione one-to-one Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione	Specifica la risorsa durante la creazione del criterio	Come la risorsa a cui è associato il criterio di autorizzazione
Criteri di negazione	Assicurati che le entità non possano utilizzare autorizzazioni specifiche	La versione IAM v2 tramite Google Cloud	Relazione one-to-many Ogni criterio di negazione è collegato a una risorsa; ogni risorsa può avere fino 500 criteri di negazione	Specifica la risorsa durante la creazione del criterio di rifiuto	Uguale alla risorsa a cui è associato il criterio di rifiuto
Criteri PAB	Limita le risorse a cui può accedere un'entità	L'interfaccia IAM API v3	Relazione Many-to-many Ogni criterio PAB può essere associato a un numero illimitato di insiemi di entità; ogni insieme di entità può avere fino a 10 criteri PAB associati	Crea un'associazione di criteri che colleghi il criterio PAB a un set di entità	L'organizzazione

Norme

Funzione criterio

API utilizzata per gestire il criterio

Relazione tra criteri e target

Metodo di collegamento dei criteri alla destinazione

Risorsa padre del criterio

Criteri di autorizzazione

Concedi alle entità l'accesso alle risorse

L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione

Relazione one-to-one

Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione

Specifica la risorsa durante la creazione del criterio

Come la risorsa a cui è associato il criterio di autorizzazione

Criteri di negazione

Assicurati che le entità non possano utilizzare autorizzazioni specifiche

La versione IAM v2 tramite Google Cloud

Relazione one-to-many

Ogni criterio di negazione è collegato a una risorsa; ogni risorsa può avere fino 500 criteri di negazione

Specifica la risorsa durante la creazione del criterio di rifiuto

Uguale alla risorsa a cui è associato il criterio di rifiuto

Criteri PAB

Limita le risorse a cui può accedere un'entità

L'interfaccia IAM API v3

Relazione Many-to-many

Ogni criterio PAB può essere associato a un numero illimitato di insiemi di entità; ogni insieme di entità può avere fino a 10 criteri PAB associati

Crea un'associazione di criteri che colleghi il criterio PAB a un set di entità

L'organizzazione

Le sezioni seguenti forniscono dettagli su ciascun tipo di norme.

Criteri per concedere l'accesso alle entità

Per concedere alle entità l'accesso alle risorse, utilizza i criteri di autorizzazione IAM.

I criteri di autorizzazione consentono di concedere l'accesso alle risorse in Google Cloud. I criteri di autorizzazione sono costituiti da associazioni di ruoli e metadati. Le associazioni di ruoli specificano quali entità devono avere un determinato ruolo nella risorsa.

I criteri di autorizzazione sono sempre collegati a una singola risorsa. Dopo aver collegato un criterio di autorizzazione a una risorsa, il criterio viene ereditato dai discendenti della risorsa.

Per creare e applicare un criterio di autorizzazione, devi identificare una risorsa che accetta i criteri di autorizzazione criteri, quindi utilizza la classe setIamPolicy per creare il criterio di autorizzazione. A tutti gli entità nel criterio allow vengono concessi i ruoli specificati per la risorsa e per tutti i relativi discendenti. A ogni risorsa può essere associato un solo criterio di autorizzazione.

Per ulteriori informazioni sui criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.

Criteri per negare l'accesso agli entità principali

Per negare alle entità l'accesso alle risorse, utilizza i criteri di rifiuto IAM. I criteri di negazione IAM sono disponibili nella versione IAM v2 tramite Google Cloud.

I criteri di negazione, come i criteri di autorizzazione, sono sempre collegati a una singola risorsa. Puoi associare un criterio di rifiuto a un progetto, a una cartella o a un'organizzazione. Questo il progetto, la cartella o l'organizzazione agisce anche da padre del criterio nella gerarchia delle risorse. Dopo aver collegato un criterio di negazione a una risorsa, viene ereditato dai discendenti di quella risorsa.

Per creare e applicare criteri di negazione, utilizza l'API IAM v2. Quando crei un criterio di negazione, specifichi la risorsa a cui appartiene il criterio di negazione a cui è collegato. A tutte le entità del criterio di negazione viene impedito di utilizzare le autorizzazioni specificate per accedere a quella risorsa e ai suoi discendenti. A ogni risorsa possono essere associati fino a 500 criteri di rifiuto.

Per ulteriori informazioni sui criteri di negazione, vedi Criteri di negazione.

Criteri per limitare le risorse a cui può accedere un'entità

Per limitare le risorse a cui un'entità può accedere, utilizza un criterio di Principal Access Boundary. I criteri di Principal Access Boundary sono disponibili in API IAM v3.

Per creare e applicare un criterio di Principal Access Boundary, devi creare un Principal Access Boundary di un criterio, quindi creerai un'associazione di criteri per connetterlo a un'entità per iniziare.

I criteri di Principal Access Boundary sono sempre elementi secondari della tua organizzazione. Le associazioni di criteri per i criteri di Principal Access Boundary sono elementi secondari del progetto, nella cartella o l'organizzazione più vicina al set di entità a cui viene fatto riferimento dell'associazione di criteri.

Ogni associazione di criteri associa un criterio di confine dell'accesso dell'entità a un insieme di entità. Un criterio di confine dell'accesso dell'entità può essere associato a un numero qualsiasi di insiemi di entità. Ciascuna Il set di entità può avere fino a 10 limiti di accesso all'entità e i criteri associati. Quando un criterio di confine di accesso principale viene eliminato, vengono eliminate anche tutte le associazioni di criteri correlate.

Per saperne di più sui criteri di Principal Access Boundary, consulta Principal Access Boundary .

Valutazione secondo le norme

Quando un'entità tenta di accedere a una risorsa, IAM valuta tutti i criteri di autorizzazione, di negazione e di limite di accesso all'entità pertinenti per verificare se l'entità autorizzati ad accedere alla risorsa. Se uno di questi criteri indica che l'entità non deve essere in grado di accedere alla risorsa, IAM impedisce l'accesso.

In realtà, IAM valuta contemporaneamente tutti i tipi di criteri, poi compila i risultati per determinare se l'entità può accedere alla risorsa. Tuttavia, può essere utile considerare questa valutazione delle norme nelle seguenti fasi:

IAM controlla tutti i criteri di confine di accesso dell'entità pertinenti per verificare se l'entità è idonea ad accedere alla risorsa. Un limite di accesso all'entità sono pertinenti se si verificano le seguenti condizioni:
- Il criterio è associato a un set di entità che include quest'ultima
- Il criterio di Principal Access Boundary blocca l'autorizzazione che l'entità principale sta tentando di utilizzare. Le autorizzazioni di un criterio di Principal Access Boundary i blocchi dipendono dalla versione del criterio di Principal Access Boundary. Devi specificare della versione del criterio quando crei il criterio di Principal Access Boundary. Per maggiori informazioni, consulta le versioni dei criteri di Principal Access Boundary.
Dopo aver controllato i criteri pertinenti per Principal Access Boundary, IAM esegue una delle seguenti operazioni:
- Se i criteri di Principal Access Boundary pertinenti non includono la risorsa a cui l'entità sta tentando di accedere, IAM impedisce all'entità di accedere alla risorsa.
- Se i criteri di Principal Access Boundary pertinenti includono la risorsa a cui l'entità sta tentando di accedere, IAM passa al passaggio successivo.
- Se non sono presenti criteri di confine di accesso principale pertinenti o se IAM non può valutare i criteri di confine di accesso principale pertinenti, IAM passa al passaggio successivo.
IAM controlla tutti i criteri di negazione pertinenti per verificare se all'entità è stata negata l'autorizzazione. I criteri di negazione pertinenti sono i criteri di negazione collegati alla risorsa, oltre agli eventuali criteri di negazione ereditati.
- Se uno di questi criteri di negazione impedisce all'entità di utilizzare l'autorizzazione di accesso, IAM impedisce loro di accedere alla risorsa.
- Se nessun criterio di rifiuto impedisce al principale di utilizzare un'autorizzazione obbligatoria, IAM passa al passaggio successivo.
IAM controlla tutti i criteri di autorizzazione pertinenti per verificare se l'entità dispone delle autorizzazioni richieste. I criteri di autorizzazione pertinenti sono collegati alla risorsa, così come eventuali consenti .
- Se l'entità non dispone delle autorizzazioni richieste, IAM impedisce l'accesso alla risorsa.
- Se l'entità dispone delle autorizzazioni necessarie, IAM consente di accedere alla risorsa.

Il seguente diagramma mostra questo flusso di valutazione dei criteri:

Flusso di valutazione dei criteri IAM

Passaggi successivi

Scopri di più sui criteri di autorizzazione.
Scopri di più sui criteri di rifiuto.
Scopri di più sui criteri di Principal Access Boundary.