In Identity and Access Management (IAM) puoi controllare l'accesso per le entità. Un principale rappresenta una o più identità che si sono autenticate in Google Cloud.
Utilizzare i principali nei criteri
Per utilizzare i principali nei tuoi criteri:
Configura le identità che Google Cloud puoi riconoscere. La configurazione delle identità è il processo di creazione di identità che Google Cloud puoi riconoscere. Puoi configurare le identità per gli utenti e per i carichi di lavoro.
Per scoprire come configurare le identità, consulta quanto segue:
- Per scoprire come configurare le identità per gli utenti, consulta Identità per gli utenti.
- Per scoprire come configurare le identità per i carichi di lavoro, consulta Identità per i carichi di lavoro.
Determina l'identificatore principale che utilizzerai. L'identificatore dell'entità è il modo in cui fai riferimento a un'entità nei tuoi criteri. Questo identificatore può fare riferimento a una singola identità o a un gruppo di identità.
Il formato utilizzato per l'identificatore principale dipende da quanto segue:
- Il tipo di entità
- Il tipo di criterio in cui vuoi includere il principale
Per visualizzare il formato dell'identificatore principale per ogni tipo di principale in ogni tipo di criterio, consulta Identificatori principali.
Una volta conosciuto il formato dell'identificatore, puoi determinare l'identificatore univoco del principale in base agli attributi del principale, ad esempio l'indirizzo email.
Includi l'identificatore dell'entità nelle norme. Aggiungi il tuo rappresentante alle tue norme, rispettando il relativo formato.
Per informazioni sui diversi tipi di criteri in IAM, consulta Tipi di criteri.
Supporto per i tipi di entità principali
Ogni tipo di criterio IAM supporta un sottoinsieme dei tipi di entità supportati da IAM. Per visualizzare i tipi di entità supportati per ogni tipo di criterio, consulta Identificatori delle entità.
Tipi di entità
IAM supporta i seguenti tipi di entità:
- Account Google
- Service account
- Google Gruppi
- Account Google Workspace
- Domini Cloud Identity
allAuthenticatedUsers
allUsers
- Una o più identità federate in un pool di identità della forza lavoro
- Una o più identità federate in un pool di identità per i carichi di lavoro
- Un insieme di pod Google Kubernetes Engine
- Set di entità Resource Manager (solo per le associazioni dei criteri di confine dell'accesso dell'entità)
Le sezioni seguenti descrivono questi tipi principali in maggiore dettaglio.
Account Google
Un Account Google rappresenta uno sviluppatore, un amministratore o un'altra persona che interagisce con Google Cloud utilizzando un account creato con
Google. Qualsiasi indirizzo email associato a un Account Google, chiamato anche
account utente gestito, può essere utilizzato come principale. Sono inclusi gli indirizzi email gmail.com
e gli indirizzi email con altri domini.
Per ulteriori informazioni sulla configurazione degli Account Google, consulta Account Cloud Identity o Google Workspace.
Account di servizio
Un account di servizio è un account per un'applicazione o un carico di lavoro di calcolo anziché per un singolo utente finale. Quando esegui un codice ospitato su Google Cloud, specifichi un account di servizio da utilizzare come identità per la tua applicazione. Puoi creare tutti gli account di servizio necessari per rappresentare i vari componenti logici dell'applicazione.
Per ulteriori informazioni sui service account, consulta la Panoramica dei service account.
Gruppi Google
Un gruppo Google è una raccolta denominata di Account Google. Ogni gruppo Google ha un indirizzo email univoco associato. Puoi trovare l'indirizzo email associato a un gruppo Google facendo clic su Informazioni nella home page di qualsiasi gruppo Google. Per ulteriori informazioni su Google Gruppi, visita la home page di Google Gruppi.
I gruppi Google sono un modo comodo per applicare controlli di accesso a una raccolta di agenti. Puoi concedere e modificare i controlli di accesso per un intero gruppo contemporaneamente anziché concederli o modificarli uno alla volta per i singoli principali. Puoi anche aggiungere o rimuovere entità da un gruppo Google anziché aggiornare un criterio di autorizzazione per aggiungere o rimuovere entità.
I gruppi Google non dispongono di credenziali di accesso e non puoi utilizzarli per stabilire l'identità al fine di effettuare una richiesta di accesso a una risorsa.
Per scoprire di più sull'utilizzo dei gruppi per il controllo dell'accesso, consulta le best practice per l'utilizzo di Google Gruppi.
Account Google Workspace
Un account Google Workspace rappresenta un gruppo virtuale di tutti gli Account Google che contiene. Gli account Google Workspace sono associati al nome di dominio internet della tua organizzazione, ad esempio example.com
. Quando crei un Account Google per un nuovo utente, ad esempio username@example.com
, questo Account Google viene aggiunto al gruppo virtuale per il tuo account Google Workspace.
Come i gruppi Google, gli account Google Workspace non possono essere utilizzati per stabilire l'identità, ma consentono una comoda gestione delle autorizzazioni.
Domini Cloud Identity
Un dominio Cloud Identity è simile a un account Google Workspace, perché rappresenta un gruppo virtuale di tutti gli Account Google di un'organizzazione. Tuttavia, gli utenti del dominio Cloud Identity non hanno accesso alle applicazioni e alle funzionalità di Google Workspace. Per ulteriori informazioni, consulta Informazioni su Cloud Identity.
allAuthenticatedUsers
Il valore allAuthenticatedUsers
è un identificatore speciale che rappresenta tutti gli account di servizio e tutti gli utenti su internet che si sono autenticati con un Account Google. Questo identificatore include gli account non collegati a un account Google Workspace o a un dominio Cloud Identity, ad esempio gli account Gmail personali. Gli utenti non autenticati, come i visitatori anonimi, non sono inclusi.
Questo tipo di principale non include le identità federate, che sono gestite da provider di identità esterni (IdP). Se utilizzi la federazione delle identità della forza lavoro o la federazione delle identità per i carichi di lavoro, non utilizzare allAuthenticatedUsers
. Utilizza invece una delle seguenti opzioni:
- Per includere gli utenti di tutti gli IdP, utilizza
allUsers
. - Per includere gli utenti di provider di identità esterni specifici, utilizza l'identificatore per tutte le identità in un pool di identità per la forza lavoro o tutte le identità in un pool di identità per i carichi di lavoro.
Alcuni tipi di risorse non supportano questo tipo di entità.
allUsers
Il valore allUsers
è un identificatore speciale che rappresenta chiunque si trovi su internet, inclusi gli utenti autenticati e non autenticati.
Alcuni tipi di risorse non supportano questo tipo di entità.
Identità federate in un pool di identità della forza lavoro
Un'identità federata in un pool Workload Identity è un'identità utente gestita da un IdP esterno e federata utilizzando la Federazione delle identità per la forza lavoro. Puoi utilizzare un'identità specifica in un pool di identità della forza lavoro oppure puoi utilizzare determinati attributi per specificare un gruppo di identità utente in un pool di identità della forza lavoro.
Identità federate in un pool di identità per i workload
Un'identità federata in un pool di identità per i carichi di lavoro è un'identità per i carichi di lavoro gestita da un provider di identità esterno e federata utilizzando la federazione delle identità per i carichi di lavoro. Puoi utilizzare un'identità di workload specifica in un pool di identità di workload oppure puoi utilizzare determinati attributi per specificare un gruppo di identità di workload in un pool di identità di workload.
Pod GKE
I carichi di lavoro in esecuzione su GKE utilizzano Workload Identity Federation for GKE per accedere ai servizi Google Cloud . Per ulteriori informazioni sugli identificatori dei principali per i pod GKE, consulta Fare riferimento alle risorse Kubernetes nei criteri IAM.
Set di entità Resource Manager
Ogni risorsa Resource Manager, ovvero progetti, cartelle e organizzazioni, è associata a un insieme di entità. Quando crei associazioni di criteri di confine di accesso delle entità, puoi utilizzare l'insieme di entità per una risorsa Resource Manager per fare riferimento a tutte le entità associate a quella risorsa.
I set di principali per le risorse Resource Manager contengono i seguenti principali:
- Set di entità principali del progetto: tutti gli account di servizio e i pool di identità per i carichi di lavoro nel progetto specificato.
- Set di entità principali della cartella: tutti gli account di servizio e tutti i pool di identità per i carichi di lavoro in qualsiasi progetto nella cartella specificata.
Set di entità organizzazione: contiene le seguenti identità:
- Tutte le identità in tutti i domini associati al tuo ID cliente Google Workspace
- Tutti i pool di identità per la forza lavoro della tua organizzazione
- Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione
Passaggi successivi
- Scopri i tipi di criteri supportati da IAM
- Concedere un ruolo a un'entità in un progetto, in una cartella o in un'organizzazione Resource Manager