Entità IAM

In Identity and Access Management (IAM) puoi controllare l'accesso per le entità. Un principale rappresenta una o più identità che si sono autenticate in Google Cloud.

Utilizzare i principali nei criteri

Per utilizzare i principali nei tuoi criteri:

  1. Configura le identità che Google Cloud puoi riconoscere. La configurazione delle identità è il processo di creazione di identità che Google Cloud puoi riconoscere. Puoi configurare le identità per gli utenti e per i carichi di lavoro.

    Per scoprire come configurare le identità, consulta quanto segue:

  2. Determina l'identificatore principale che utilizzerai. L'identificatore dell'entità è il modo in cui fai riferimento a un'entità nei tuoi criteri. Questo identificatore può fare riferimento a una singola identità o a un gruppo di identità.

    Il formato utilizzato per l'identificatore principale dipende da quanto segue:

    • Il tipo di entità
    • Il tipo di criterio in cui vuoi includere il principale

    Per visualizzare il formato dell'identificatore principale per ogni tipo di principale in ogni tipo di criterio, consulta Identificatori principali.

    Una volta conosciuto il formato dell'identificatore, puoi determinare l'identificatore univoco del principale in base agli attributi del principale, ad esempio l'indirizzo email.

  3. Includi l'identificatore dell'entità nelle norme. Aggiungi il tuo rappresentante alle tue norme, rispettando il relativo formato.

    Per informazioni sui diversi tipi di criteri in IAM, consulta Tipi di criteri.

Supporto per i tipi di entità principali

Ogni tipo di criterio IAM supporta un sottoinsieme dei tipi di entità supportati da IAM. Per visualizzare i tipi di entità supportati per ogni tipo di criterio, consulta Identificatori delle entità.

Tipi di entità

IAM supporta i seguenti tipi di entità:

Le sezioni seguenti descrivono questi tipi principali in maggiore dettaglio.

Account Google

Un Account Google rappresenta uno sviluppatore, un amministratore o un'altra persona che interagisce con Google Cloud utilizzando un account creato con Google. Qualsiasi indirizzo email associato a un Account Google, chiamato anche account utente gestito, può essere utilizzato come principale. Sono inclusi gli indirizzi email gmail.com e gli indirizzi email con altri domini.

Per ulteriori informazioni sulla configurazione degli Account Google, consulta Account Cloud Identity o Google Workspace.

Account di servizio

Un account di servizio è un account per un'applicazione o un carico di lavoro di calcolo anziché per un singolo utente finale. Quando esegui un codice ospitato su Google Cloud, specifichi un account di servizio da utilizzare come identità per la tua applicazione. Puoi creare tutti gli account di servizio necessari per rappresentare i vari componenti logici dell'applicazione.

Per ulteriori informazioni sui service account, consulta la Panoramica dei service account.

Gruppi Google

Un gruppo Google è una raccolta denominata di Account Google. Ogni gruppo Google ha un indirizzo email univoco associato. Puoi trovare l'indirizzo email associato a un gruppo Google facendo clic su Informazioni nella home page di qualsiasi gruppo Google. Per ulteriori informazioni su Google Gruppi, visita la home page di Google Gruppi.

I gruppi Google sono un modo comodo per applicare controlli di accesso a una raccolta di agenti. Puoi concedere e modificare i controlli di accesso per un intero gruppo contemporaneamente anziché concederli o modificarli uno alla volta per i singoli principali. Puoi anche aggiungere o rimuovere entità da un gruppo Google anziché aggiornare un criterio di autorizzazione per aggiungere o rimuovere entità.

I gruppi Google non dispongono di credenziali di accesso e non puoi utilizzarli per stabilire l'identità al fine di effettuare una richiesta di accesso a una risorsa.

Per scoprire di più sull'utilizzo dei gruppi per il controllo dell'accesso, consulta le best practice per l'utilizzo di Google Gruppi.

Account Google Workspace

Un account Google Workspace rappresenta un gruppo virtuale di tutti gli Account Google che contiene. Gli account Google Workspace sono associati al nome di dominio internet della tua organizzazione, ad esempio example.com. Quando crei un Account Google per un nuovo utente, ad esempio username@example.com, questo Account Google viene aggiunto al gruppo virtuale per il tuo account Google Workspace.

Come i gruppi Google, gli account Google Workspace non possono essere utilizzati per stabilire l'identità, ma consentono una comoda gestione delle autorizzazioni.

Domini Cloud Identity

Un dominio Cloud Identity è simile a un account Google Workspace, perché rappresenta un gruppo virtuale di tutti gli Account Google di un'organizzazione. Tuttavia, gli utenti del dominio Cloud Identity non hanno accesso alle applicazioni e alle funzionalità di Google Workspace. Per ulteriori informazioni, consulta Informazioni su Cloud Identity.

allAuthenticatedUsers

Il valore allAuthenticatedUsers è un identificatore speciale che rappresenta tutti gli account di servizio e tutti gli utenti su internet che si sono autenticati con un Account Google. Questo identificatore include gli account non collegati a un account Google Workspace o a un dominio Cloud Identity, ad esempio gli account Gmail personali. Gli utenti non autenticati, come i visitatori anonimi, non sono inclusi.

Questo tipo di principale non include le identità federate, che sono gestite da provider di identità esterni (IdP). Se utilizzi la federazione delle identità della forza lavoro o la federazione delle identità per i carichi di lavoro, non utilizzare allAuthenticatedUsers. Utilizza invece una delle seguenti opzioni:

Alcuni tipi di risorse non supportano questo tipo di entità.

allUsers

Il valore allUsers è un identificatore speciale che rappresenta chiunque si trovi su internet, inclusi gli utenti autenticati e non autenticati.

Alcuni tipi di risorse non supportano questo tipo di entità.

Identità federate in un pool di identità della forza lavoro

Un'identità federata in un pool Workload Identity è un'identità utente gestita da un IdP esterno e federata utilizzando la Federazione delle identità per la forza lavoro. Puoi utilizzare un'identità specifica in un pool di identità della forza lavoro oppure puoi utilizzare determinati attributi per specificare un gruppo di identità utente in un pool di identità della forza lavoro.

Identità federate in un pool di identità per i workload

Un'identità federata in un pool di identità per i carichi di lavoro è un'identità per i carichi di lavoro gestita da un provider di identità esterno e federata utilizzando la federazione delle identità per i carichi di lavoro. Puoi utilizzare un'identità di workload specifica in un pool di identità di workload oppure puoi utilizzare determinati attributi per specificare un gruppo di identità di workload in un pool di identità di workload.

Pod GKE

I carichi di lavoro in esecuzione su GKE utilizzano Workload Identity Federation for GKE per accedere ai servizi Google Cloud . Per ulteriori informazioni sugli identificatori dei principali per i pod GKE, consulta Fare riferimento alle risorse Kubernetes nei criteri IAM.

Set di entità Resource Manager

Ogni risorsa Resource Manager, ovvero progetti, cartelle e organizzazioni, è associata a un insieme di entità. Quando crei associazioni di criteri di confine di accesso delle entità, puoi utilizzare l'insieme di entità per una risorsa Resource Manager per fare riferimento a tutte le entità associate a quella risorsa.

I set di principali per le risorse Resource Manager contengono i seguenti principali:

  • Set di entità principali del progetto: tutti gli account di servizio e i pool di identità per i carichi di lavoro nel progetto specificato.
  • Set di entità principali della cartella: tutti gli account di servizio e tutti i pool di identità per i carichi di lavoro in qualsiasi progetto nella cartella specificata.
  • Set di entità organizzazione: contiene le seguenti identità:

    • Tutte le identità in tutti i domini associati al tuo ID cliente Google Workspace
    • Tutti i pool di identità per la forza lavoro della tua organizzazione
    • Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione

Passaggi successivi