In Identity and Access Management (IAM) controlli l'accesso per le entità. Un principal rappresenta una o più identità che sono state autenticate su Google Cloud.
Utilizzare i principal nei criteri
Per utilizzare i principal nelle policy:
Configura le identità che Google Cloud può riconoscere. La configurazione delle identità è il processo di creazione di identità che Google Cloud possono riconoscere. Puoi configurare le identità per gli utenti e per i carichi di lavoro.
Per scoprire come configurare le identità, consulta quanto segue:
- Per scoprire come configurare le identità per gli utenti, consulta Identità per gli utenti.
- Per scoprire come configurare le identità per i workload, consulta Identità per i workload.
Determina l'identificatore principale che utilizzerai. L'identificatore dell'entità è il modo in cui fai riferimento a un'entità nei tuoi criteri. Questo identificatore può fare riferimento a una singola identità o a un gruppo di identità.
Il formato che utilizzi per l'identificatore dell'entità dipende da quanto segue:
- Il tipo di entità
- Il tipo di policy in cui vuoi includere l'entità
Per visualizzare il formato dell'identificatore principale per ogni tipo di principal in ogni tipo di norma, consulta Identificatori principal.
Una volta noto il formato dell'identificatore, puoi determinare l'identificatore univoco dell'entità in base agli attributi dell'entità, ad esempio l'indirizzo email.
Includi l'identificatore dell'entità nella norma. Aggiungi il tuo principale alle tue norme, seguendo il formato delle norme.
Per scoprire di più sui diversi tipi di criteri in IAM, consulta Tipi di criteri.
Supporto per i tipi di entità
Ogni tipo di criterio IAM supporta un sottoinsieme dei tipi di entità supportati da IAM. Per visualizzare i tipi di entità supportati per ogni tipo di criterio, consulta Identificatori delle entità.
Tipi di entità
IAM supporta i seguenti tipi di entità:
- Account Google
- Service account
- Google Gruppi
- Account Google Workspace
- Domini Cloud Identity
allAuthenticatedUsers
allUsers
- Una o più identità federate in un pool di identità della forza lavoro
- Una o più identità federate in un pool di identità del workload
- Un insieme di pod Google Kubernetes Engine
- Set di entità Resource Manager (solo per le associazioni di criteri di confine dell'accesso dell'entità)
Le sezioni seguenti descrivono in modo più dettagliato questi tipi principali.
Account Google
Un Account Google rappresenta uno sviluppatore, un amministratore o un'altra persona
che interagisce con Google Cloud utilizzando un account creato con
Google. Qualsiasi indirizzo email associato a un Account Google, chiamato anche
account utente gestito, può essere utilizzato come principale. Sono inclusi gmail.com
indirizzi email e indirizzi email con altri domini.
Nelle tue norme di autorizzazione e negazione, gli alias email associati a un Account Google o a un account utente gestito vengono sostituiti automaticamente con l'indirizzo email principale. Ciò significa che il criterio mostra l'indirizzo email principale dell'utente quando concedi l'accesso a un alias email.
Per maggiori informazioni sulla configurazione degli Account Google, vedi Account Cloud Identity o Google Workspace.
Account di servizio
Un account di servizio è un account per un'applicazione o un workload di computing anziché per un singolo utente finale. Quando esegui un codice ospitato su Google Cloud, specifichi un account di servizio da utilizzare come identità per la tua applicazione. Puoi creare tutti i service account necessari per rappresentare i diversi componenti logici della tua applicazione.
Per ulteriori informazioni sui service account, consulta Panoramica dei service account.
Gruppi Google
Un gruppo Google è una raccolta denominata di Account Google. Ogni gruppo Google ha un indirizzo email univoco associato al gruppo. Puoi trovare l'indirizzo email associato a un gruppo Google facendo clic su Informazioni nella home page di qualsiasi gruppo Google. Per saperne di più su Google Gruppi, visita la home page di Google Gruppi.
I gruppi Google sono un modo comodo per applicare i controlli dell'accesso a una raccolta di principal. Puoi concedere e modificare i controlli di accesso per un intero gruppo contemporaneamente, anziché concederli o modificarli uno alla volta per singoli principal. Puoi anche aggiungere o rimuovere entità da un gruppo Google anziché aggiornare una policy di autorizzazione per aggiungere o rimuovere entità.
I gruppi Google non dispongono di credenziali di accesso e non puoi utilizzarli per stabilire l'identità per richiedere l'accesso a una risorsa.
Per scoprire di più sull'utilizzo dei gruppi per controllo dell'accesso dell'accesso, consulta le best practice per l'utilizzo di Google Gruppi.
Account Google Workspace
Un account Google Workspace rappresenta un gruppo virtuale di tutti gli Account Google che contiene. Gli account Google Workspace sono associati al nome di dominio internet della tua organizzazione, ad esempio example.com
. Quando crei
un Account Google per un nuovo utente, ad esempio username@example.com
, questo
viene aggiunto al gruppo virtuale per il tuo account Google Workspace.
Come i gruppi Google, gli account Google Workspace non possono essere utilizzati per stabilire l'identità, ma consentono una comoda gestione delle autorizzazioni.
Domini Cloud Identity
Un dominio Cloud Identity è come un account Google Workspace, perché rappresenta un gruppo virtuale di tutti gli Account Google di un'organizzazione. Tuttavia, gli utenti del dominio Cloud Identity non hanno accesso alle applicazioni e alle funzionalità di Google Workspace. Per ulteriori informazioni, vedi Informazioni su Cloud Identity.
Nelle norme di autorizzazione e negazione, i domini secondari vengono sostituiti automaticamente con il dominio principale. Ciò significa che la policy mostra il dominio principale quando concedi l'accesso a un dominio secondario.
allAuthenticatedUsers
Il valore allAuthenticatedUsers
è un identificatore speciale che rappresenta tutti
gli account di servizio e tutti gli utenti su internet che si sono autenticati con un
Account Google. Questo identificatore include gli account non collegati a un
account Google Workspace o a un dominio Cloud Identity, ad esempio
gli account Gmail personali. Gli utenti non autenticati, come i visitatori
anonimi, non sono inclusi.
Questo tipo di principal non include le identità federate, che sono gestite da
provider di identità (IdP) esterni. Se utilizzi la federazione delle identità per la forza lavoro o la federazione delle identità per i carichi di lavoro, non utilizzare allAuthenticatedUsers
. Utilizza invece uno dei seguenti metodi:
- Per includere gli utenti di tutti gli IdP, utilizza
allUsers
. - Per includere utenti di IdP esterni specifici, utilizza l'identificatore per tutte le identità in un pool di identità della forza lavoro o tutte le identità in un pool di identità del workload.
Alcuni tipi di risorse non supportano questo tipo di entità.
allUsers
Il valore allUsers
è un identificatore speciale che rappresenta chiunque si trovi su internet, inclusi gli utenti autenticati e non autenticati.
Alcuni tipi di risorse non supportano questo tipo di entità.
Identità federate in un pool di identità della forza lavoro
Un'identità federata in un pool di identità della forza lavoro è un'identità utente gestita da un IdP esterno e federata utilizzando la federazione delle identità per la forza lavoro. Puoi utilizzare un'identità specifica in un pool di identità della forza lavoro oppure puoi utilizzare determinati attributi per specificare un gruppo di identità utente in un pool di identità della forza lavoro.
Identità federate in un pool di identità del workload
Un'identità federata in un pool di identità del workload è un'identità del workload gestita da un IdP esterno e federata utilizzando la federazione delle identità per i workload. Puoi utilizzare un'identità del workload specifica in un pool di identità del workload oppure puoi utilizzare determinati attributi per specificare un gruppo di identità del workload in un pool di identità del workload.
Pod GKE
I workload in esecuzione su GKE utilizzano Workload Identity Federation for GKE per accedere ai servizi Google Cloud . Per ulteriori informazioni sugli identificatori principali per i pod GKE, consulta Fare riferimento alle risorse Kubernetes nelle policy IAM.
Set di entità Resource Manager
Ogni risorsa Resource Manager (progetti, cartelle e organizzazioni) è associata a un insieme di entità. Quando crei associazioni di policy di Principal Access Boundary, puoi utilizzare il set di entità per una risorsa Resource Manager per fare riferimento a tutte le entità associate a quella risorsa.
I set di entità per le risorse Resource Manager contengono le seguenti entità:
- Set di entità progetto: tutti i service account e i pool di identità per i carichi di lavoro nel progetto specificato.
- Set di entità della cartella: tutti i service account e tutti i pool di identità per i carichi di lavoro in qualsiasi progetto della cartella specificata.
Set di entità organizzazione: contiene le seguenti identità:
- Tutte le identità in tutti i domini associati al tuo ID cliente Google Workspace
- Tutti i pool di identità della forza lavoro nella tua organizzazione
- Tutti i service account e i pool di identità del workload in qualsiasi progetto dell'organizzazione
Passaggi successivi
- Scopri di più sui tipi di policy supportati da IAM
- Concedi a un'entità un ruolo in un progetto, una cartella o un'organizzazione Resource Manager