Identity and Access Management (IAM) offre diversi tipi di criteri per aiutarti a controllare le risorse a cui possono accedere i principali. Questa pagina ti aiuta a comprendere le differenze tra il modo in cui utilizzi e gestisci questi tipi di criteri.
Tipi di criteri IAM
IAM offre i seguenti tipi di criteri:
- Criteri di autorizzazione
- Criteri di negazione
- Criteri di Principal Access Boundary (PAB)
La tabella seguente riassume le differenze tra questi tipi di norme:
Norme | Funzione criterio | API utilizzata per gestire il criterio | Relazione tra criteri e target | Metodo di collegamento dei criteri alla destinazione | Risorsa padre del criterio |
---|---|---|---|---|---|
Criteri di autorizzazione | Concedi alle entità l'accesso alle risorse | L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione |
Relazione one-to-one Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione |
Specifica la risorsa durante la creazione del criterio | Come la risorsa a cui è associato il criterio di autorizzazione |
Criteri di negazione | Assicurati che le entità non possano utilizzare autorizzazioni specifiche | La versione IAM v2 tramite Google Cloud |
Relazione one-to-many Ogni criterio di negazione è collegato a una risorsa; ogni risorsa può avere fino 500 criteri di negazione |
Specifica la risorsa durante la creazione del criterio di rifiuto | Uguale alla risorsa a cui è associato il criterio di rifiuto |
Criteri PAB | Limita le risorse a cui può accedere un'entità | L'interfaccia IAM API v3 |
Relazione Many-to-many Ogni criterio PAB può essere associato a un numero illimitato di insiemi di entità; ogni insieme di entità può avere fino a 10 criteri PAB associati |
Crea un'associazione di criteri che colleghi il criterio PAB a un set di entità | L'organizzazione |
Le sezioni seguenti forniscono dettagli su ciascun tipo di norme.
Criteri per concedere l'accesso alle entità
Per concedere alle entità l'accesso alle risorse, utilizza i criteri di autorizzazione IAM.
I criteri di autorizzazione consentono di concedere l'accesso alle risorse in Google Cloud. I criteri di autorizzazione sono costituiti da associazioni di ruoli e metadati. Le associazioni di ruoli specificano quali entità devono avere un determinato ruolo nella risorsa.
I criteri di autorizzazione sono sempre collegati a una singola risorsa. Dopo aver collegato un criterio di autorizzazione a una risorsa, il criterio viene ereditato dai discendenti della risorsa.
Per creare e applicare un criterio di autorizzazione, devi identificare una risorsa che accetta i criteri di autorizzazione
criteri, quindi utilizza la classe
setIamPolicy
per creare il criterio di autorizzazione. A tutti gli entità nel criterio allow vengono concessi i ruoli specificati per la risorsa e per tutti i relativi discendenti. A ogni risorsa può essere associato un solo criterio di autorizzazione.
Per ulteriori informazioni sui criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Criteri per negare l'accesso agli entità principali
Per negare alle entità l'accesso alle risorse, utilizza i criteri di rifiuto IAM. I criteri di negazione IAM sono disponibili nella versione IAM v2 tramite Google Cloud.
I criteri di negazione, come i criteri di autorizzazione, sono sempre collegati a una singola risorsa. Puoi associare un criterio di rifiuto a un progetto, a una cartella o a un'organizzazione. Questo il progetto, la cartella o l'organizzazione agisce anche da padre del criterio nella gerarchia delle risorse. Dopo aver collegato un criterio di negazione a una risorsa, viene ereditato dai discendenti di quella risorsa.
Per creare e applicare criteri di negazione, utilizza l'API IAM v2. Quando crei un criterio di negazione, specifichi la risorsa a cui appartiene il criterio di negazione a cui è collegato. A tutte le entità del criterio di negazione viene impedito di utilizzare le autorizzazioni specificate per accedere a quella risorsa e ai suoi discendenti. A ogni risorsa possono essere associati fino a 500 criteri di rifiuto.
Per ulteriori informazioni sui criteri di negazione, vedi Criteri di negazione.
Criteri per limitare le risorse a cui può accedere un'entità
Per limitare le risorse a cui un'entità può accedere, utilizza un criterio di Principal Access Boundary. I criteri di Principal Access Boundary sono disponibili in API IAM v3.
Per creare e applicare un criterio di Principal Access Boundary, devi creare un Principal Access Boundary di un criterio, quindi creerai un'associazione di criteri per connetterlo a un'entità per iniziare.
I criteri di Principal Access Boundary sono sempre elementi secondari della tua organizzazione. Le associazioni di criteri per i criteri di Principal Access Boundary sono elementi secondari del progetto, nella cartella o l'organizzazione più vicina al set di entità a cui viene fatto riferimento dell'associazione di criteri.
Ogni associazione di criteri associa un criterio di confine dell'accesso dell'entità a un insieme di entità. Un criterio di confine dell'accesso dell'entità può essere associato a un numero qualsiasi di insiemi di entità. Ciascuna Il set di entità può avere fino a 10 limiti di accesso all'entità e i criteri associati. Quando un criterio di confine di accesso principale viene eliminato, vengono eliminate anche tutte le associazioni di criteri correlate.
Per saperne di più sui criteri di Principal Access Boundary, consulta Principal Access Boundary .
Valutazione secondo le norme
Quando un'entità tenta di accedere a una risorsa, IAM valuta tutti i criteri di autorizzazione, di negazione e di limite di accesso all'entità pertinenti per verificare se l'entità autorizzati ad accedere alla risorsa. Se uno di questi criteri indica che l'entità non deve essere in grado di accedere alla risorsa, IAM impedisce l'accesso.
In realtà, IAM valuta contemporaneamente tutti i tipi di criteri, poi compila i risultati per determinare se l'entità può accedere alla risorsa. Tuttavia, può essere utile considerare questa valutazione delle norme nelle seguenti fasi:
-
IAM controlla tutti i criteri di confine di accesso dell'entità pertinenti per verificare se l'entità è idonea ad accedere alla risorsa. Un limite di accesso all'entità sono pertinenti se si verificano le seguenti condizioni:
- Il criterio è associato a un set di entità che include quest'ultima
- Il criterio di Principal Access Boundary blocca l'autorizzazione che l'entità principale sta tentando di utilizzare. Le autorizzazioni di un criterio di Principal Access Boundary i blocchi dipendono dalla versione del criterio di Principal Access Boundary. Devi specificare della versione del criterio quando crei il criterio di Principal Access Boundary. Per maggiori informazioni, consulta le versioni dei criteri di Principal Access Boundary.
Dopo aver controllato i criteri pertinenti per Principal Access Boundary, IAM esegue una delle seguenti operazioni:
- Se i criteri di Principal Access Boundary pertinenti non includono la risorsa a cui l'entità sta tentando di accedere, IAM impedisce all'entità di accedere alla risorsa.
- Se i criteri di Principal Access Boundary pertinenti includono la risorsa a cui l'entità sta tentando di accedere, IAM passa al passaggio successivo.
- Se non sono presenti criteri di confine di accesso principale pertinenti o se IAM non può valutare i criteri di confine di accesso principale pertinenti, IAM passa al passaggio successivo.
-
IAM controlla tutti i criteri di negazione pertinenti per verificare se all'entità è stata negata l'autorizzazione. I criteri di negazione pertinenti sono i criteri di negazione collegati alla risorsa, oltre agli eventuali criteri di negazione ereditati.
- Se uno di questi criteri di negazione impedisce all'entità di utilizzare l'autorizzazione di accesso, IAM impedisce loro di accedere alla risorsa.
- Se nessun criterio di rifiuto impedisce al principale di utilizzare un'autorizzazione obbligatoria, IAM passa al passaggio successivo.
-
IAM controlla tutti i criteri di autorizzazione pertinenti per verificare se l'entità dispone delle autorizzazioni richieste. I criteri di autorizzazione pertinenti sono collegati alla risorsa, così come eventuali consenti .
- Se l'entità non dispone delle autorizzazioni richieste, IAM impedisce l'accesso alla risorsa.
- Se l'entità dispone delle autorizzazioni necessarie, IAM consente di accedere alla risorsa.
Il seguente diagramma mostra questo flusso di valutazione dei criteri:
Passaggi successivi
- Scopri di più sui criteri di autorizzazione.
- Scopri di più sui criteri di rifiuto.
- Scopri di più sui criteri di Principal Access Boundary.