Ruoli e autorizzazioni

Questa pagina descrive i ruoli IAM (Identity and Access Management), ovvero raccolte di autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle risorse Google Cloud. Per rendere disponibili le autorizzazioni per le entità, tra cui utenti, gruppi e account di servizio, devi concedere i ruoli alle entità.

Prima di iniziare

Tipi di ruoli

In IAM esistono tre tipi di ruoli:

  • Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
  • Ruoli predefiniti, che forniscono accesso granulare per un servizio specifico e sono gestiti da Google Cloud.
  • Ruoli personalizzati, che forniscono un accesso granulare in base a un dell'elenco di autorizzazioni.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

Componenti del ruolo

Ciascun ruolo include i seguenti componenti:

  • Titolo: un nome leggibile per il ruolo. Il ruolo "title" viene utilizzato per identificare il ruolo nella console Google Cloud.

  • Nome: un identificatore del ruolo in uno dei seguenti modi: formati:

    • Ruoli predefiniti: roles/SERVICE.IDENTIFIER
    • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
    • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER

    Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.

  • ID: un identificatore univoco per il ruolo. Per le applicazioni di base predefiniti, l'ID corrisponde al nome del ruolo. Per i ruoli personalizzati, L'ID è tutto ciò che segue roles/ nel nome del ruolo.

  • Descrizione: una descrizione leggibile del ruolo.

  • Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio ALPHA, BETA o GA. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.

  • Autorizzazioni: le autorizzazioni incluse nel ruolo. Autorizzazioni consentite per eseguire azioni specifiche sulle risorse Google Cloud. Quando se concedi un ruolo a un'entità, quest'ultima riceve tutte le autorizzazioni nel ruolo.

    Le autorizzazioni hanno il seguente formato:

    SERVICE.RESOURCE.VERB

    Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di sua proprietà, mentre compute.instances.stop consente di arrestare una VM.

    Le autorizzazioni corrispondono in genere, ma non sempre, 1:1 ai metodi REST. Questo è che a ogni servizio Google Cloud è associata un'autorizzazione il metodo REST di cui dispone. Per chiamare un metodo, il chiamante deve avere l'ID autorizzazione. Ad esempio, per chiamare il metodo projects.topics.publish dell'API Pub/Sub, devi disporre dell'autorizzazione pubsub.topics.publish.

  • ETag: un identificatore della versione del ruolo per contribuire a impedire che gli aggiornamenti simultanei si sovrascrivano a vicenda. Di base e predefinita i ruoli hanno sempre l'ETag AA==. Gli ETag per i ruoli personalizzati cambiano ogni volta e modificare i ruoli.

Ruoli di base

I ruoli di base sono ruoli altamente permissivi esistenti prima dell'introduzione di IAM. In origine, erano noti come ruoli originari. Tu possono utilizzare i ruoli di base per concedere alle entità accesso ampio a Google Cloud Google Cloud.

Quando concedi un ruolo di base a un'entità, quest'ultima ottiene tutte le autorizzazioni del ruolo di base. Riceveranno anche tutte le autorizzazioni dei servizi fornire alle entità con ruoli di base, ad esempio le autorizzazioni acquisite tramite Cloud Storage valori di convenienza e BigQuery appartenenza al gruppo.

La tabella seguente riassume le autorizzazioni concesse agli utenti dai ruoli di base in tutti i servizi Google Cloud:

Ruoli di base Autorizzazioni
Visualizzatore (roles/viewer)

Autorizzazioni per azioni di sola lettura che non influiscono sullo stato, ad esempio visualizzare (ma non modificare) risorse o dati esistenti.

Per un elenco delle autorizzazioni nel ruolo Visualizzatore, consulta i dettagli del ruolo nella console Google Cloud:

Vai al ruolo di visualizzatore

Editor (roles/editor)

Tutte le autorizzazioni di visualizzazione, oltre a quelle per le azioni che modificano lo stato, ad esempio la modifica di risorse esistenti.

Le autorizzazioni nel ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor contengono le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo dispone delle autorizzazioni di cui hai bisogno, consulta la sezione Tipi di ruolo in questa pagina.

Per un elenco delle autorizzazioni nel ruolo Editor, consulta i dettagli del ruolo in la console Google Cloud:

Vai all'editor ruolo

Proprietario (roles/owner)

Tutte le autorizzazioni dell'editor, oltre a quelle per azioni come quelle elencate di seguito:

  • Completare attività sensibili, come la creazione di applicazioni App Engine
  • Gestione dei ruoli e delle autorizzazioni di un progetto e di tutte le risorse al suo interno
  • Configurazione della fatturazione di un progetto

Il ruolo Proprietario non contiene tutte le autorizzazioni per tutti dell'accesso a specifiche risorse Google Cloud. Ad esempio, non contiene le autorizzazioni per modificare i dati di pagamento e creare criteri di negazione IAM.

Per un elenco delle autorizzazioni nel ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Proprietario

Puoi concedere i ruoli di base utilizzando la console Google Cloud, l'API e con gcloud CLI. Tuttavia, per concedere il ruolo Proprietario di un progetto a un utente al di fuori della tua organizzazione, devi utilizzare la console Google Cloud, non il client gcloud. Se il progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.

Per le istruzioni, consulta l'articolo Concessione, modifica e revoca l'accesso alle app.

Ruoli predefiniti

Oltre ai ruoli di base, IAM offre anche ruoli predefiniti che offrono un accesso granulare a specifici Google Cloud. Questi ruoli vengono creati e gestiti da Google. Google aggiorna automaticamente le proprie autorizzazioni in base alle necessità, ad esempio quando Google Cloud aggiunge nuove funzionalità o servizi.

Puoi assegnare più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli Amministratore della rete Compute e Visualizzatore dei log in un progetto e anche il ruolo Editore Pub/Sub in un argomento Pub/Sub all'interno del progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.

Per assistenza nella scelta dei ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.

Per un elenco dei ruoli predefiniti, consulta i ruoli riferimento.

Ruoli personalizzati

IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, in quanto per garantire che le entità dell'organizzazione abbiano solo le autorizzazioni necessarie.

I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi assegnare il ruolo personalizzato all'organizzazione o al progetto, nonché a qualsiasi risorsa all'interno dell'organizzazione o del progetto.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui lo hai creato. Non puoi concedere ruoli personalizzati ad altri progetti o organizzazioni. o sulle risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più delle autorizzazioni IAM supportate.

Autorizzazioni supportate

Nei ruoli personalizzati puoi includere molte, ma non tutte, le autorizzazioni IAM. Ogni autorizzazione ha uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:

Livello di assistenza Descrizione
SUPPORTED L'autorizzazione è completamente supportata nei ruoli personalizzati.
TESTING Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includi l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. Sconsigliate per l'uso in produzione.
NOT_SUPPORTED L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere uno qualsiasi dei ruoli IAM di autorizzazioni supportate nelle impostazioni ruoli. Un ruolo personalizzato a livello di progetto può Contengono qualsiasi autorizzazione supportata, ad eccezione delle autorizzazioni che possono essere utilizzate a livello di organizzazione o cartella.

Il motivo per cui non puoi includere elementi specifici per la cartella e per l'organizzazione le autorizzazioni nei ruoli a livello di progetto è che non fanno nulla quando vengono concesse a livello di progetto. Il motivo è che le risorse in Google Cloud organizzati in modo gerarchico. Le autorizzazioni vengono ereditate tramite la gerarchia della risorsa, il che significa che sono efficaci per la risorsa e per tutti i relativi discendenti. Tuttavia, le organizzazioni e le cartelle sono sempre dei progetti nel della gerarchia delle risorse Google Cloud. Di conseguenza, non potrai mai utilizzare un'autorizzazione che ti è stata concessa a livello di progetto per accedere alle cartelle le tue organizzazioni. Di conseguenza, le autorizzazioni specifiche per cartella e organizzazione, ad esempio resourcemanager.folders.list, non sono efficaci per i ruoli personalizzati a livello di progetto.

Quando utilizzare i ruoli personalizzati

Nella maggior parte dei casi, dovresti essere in grado di utilizzare i ruoli predefiniti anziché quelli personalizzati. I ruoli predefiniti sono gestiti da Google e vengono aggiornati automaticamente quando nuove autorizzazioni, funzionalità o servizi vengono aggiunti a Google Cloud. I ruoli personalizzati, invece, non vengono gestiti da Google. Quando Google Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, i ruoli personalizzati non vengono aggiornati automaticamente.

Tuttavia, ti consigliamo di creare un ruolo personalizzato nelle seguenti situazioni:

  • Un'entità ha bisogno di un'autorizzazione, ma ogni ruolo predefinito che include quell'autorizzazione include anche autorizzazioni di cui l'entità non ha bisogno e che non deve avere.
  • Puoi utilizzare i suggerimenti sui ruoli per sostituire i ruoli eccessivamente permissivi concessioni con ruoli più appropriati. In alcuni casi, potresti ricevere suggerimento di creare un ruolo personalizzato.

Tieni inoltre presente i seguenti limiti:

  • I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, le dimensioni totali massime del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato sono le 64 kB.

  • Esistono limiti al numero di ruoli personalizzati che puoi creare:

    • Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione
    • Puoi creare fino a 300 ruoli personalizzati a livello di progetto in ogni progetto della tua organizzazione.

Dipendenze autorizzazioni

Alcune autorizzazioni sono efficaci solo se concesse insieme. Ad esempio, per se aggiorni un criterio di autorizzazione, devi leggerlo prima di poterlo modificare e scriverlo. Di conseguenza, per aggiornare un criterio di autorizzazione, è quasi sempre necessaria l'autorizzazione getIamPolicy per il servizio e il tipo di risorsa, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i tuoi ruoli personalizzati siano efficaci, puoi creare ruoli personalizzati sui ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati in base a attività specifiche e contengono tutte le autorizzazioni necessarie per svolgere queste attività. L'esame di questi ruoli può aiutarti a capire quali autorizzazioni sono di solito concessi insieme. Poi, puoi utilizzare queste informazioni per progettare ruoli personalizzati.

Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.

Ciclo di vita dei ruoli personalizzati

Le seguenti sezioni descrivono le considerazioni chiave in ogni fase di un durante il ciclo di vita del ruolo. Puoi utilizzare queste informazioni per sapere come creare e gestire i tuoi ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiuteranno a identificare il ruolo:

  • ID ruolo: l'ID ruolo è un identificatore univoco del ruolo. Può avere una lunghezza massima di 64 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli, trattini bassi e punti. Non puoi riutilizzare un ID ruolo all'interno di un'organizzazione o di un progetto.

    Non è possibile modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi creare un nuovo ruolo personalizzato con lo stesso ID nella stessa organizzazione o nello stesso progetto fino al completamento della procedura di eliminazione di 44 giorni. Per ulteriori informazioni sull'eliminazione consulta l'articolo sull'eliminazione di un ruolo personalizzato.

  • Titolo del ruolo: il titolo del ruolo viene visualizzato nell'elenco dei ruoli della nella console Google Cloud. Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i tuoi ruoli. Inoltre, valuta la possibilità di indicare nel titolo del ruolo se quest'ultimo è stato creato a livello di organizzazione o di progetto.

    I titoli dei ruoli possono avere una lunghezza massima di 100 byte e possono contenere simboli e caratteri alfanumerici maiuscoli e minuscoli. Puoi modificare i titoli dei ruoli in qualsiasi momento.

  • Descrizione del ruolo: la descrizione del ruolo è un campo facoltativo in cui puoi fornire informazioni aggiuntive su un ruolo. Ad esempio, puoi includere lo scopo previsto del ruolo, la data di creazione o modifica di un ruolo e eventuali ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono essere al massimo 300 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli e simboli.

Mantieni anche le dipendenze per le autorizzazioni in quando crei ruoli personalizzati.

Per scoprire come creare un ruolo personalizzato in base a un ruolo predefinito, consulta Creare e gestire i ruoli personalizzati.

Avvia

I ruoli personalizzati includono una fase di avvio come parte dei metadati del ruolo. Il più fasi di lancio comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Questi le fasi di lancio sono a scopo informativo; aiutano a capire se ogni ruolo sono già pronte per un uso diffuso. Un'altra fase di lancio comune è DISABLED. Questa fase di lancio ti consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni: sul ruolo:

  • EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include autorizzazioni per funzionalità o servizi Google Cloud non ancora pubblici. Non è pronta per un uso diffuso.
  • BETA: il ruolo è stato testato con limitazioni oppure include autorizzazioni per servizi o funzionalità Google Cloud che non sono generalmente disponibili.
  • GA: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni sono per funzionalità o servizi Google Cloud disponibili a livello generale.
  • DEPRECATED: il ruolo non è più in uso.

Per scoprire come modificare la fase di lancio di un ruolo, consulta Modificare un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli dei tuoi utenti responsabilità cambiano, così come l'aggiornamento dei ruoli per consentire agli utenti accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato sui ruoli predefiniti, ti consigliamo alla ricerca di modifiche alle autorizzazioni nei ruoli predefiniti. Monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare che un ruolo predefinito è stato aggiornato con le autorizzazioni per utilizzare una nuova funzionalità di anteprima e decidere di aggiungere queste autorizzazioni anche al tuo ruolo personalizzato.

Per facilitare la visualizzazione dei ruoli predefiniti da monitorare, ti consigliamo di elencare eventuali ruoli predefiniti su cui si basa il tuo ruolo personalizzato Descrizione. La console Google Cloud esegue questa operazione automaticamente quando utilizzi la console per creare un ruolo personalizzato in base a quelli predefiniti.

Per scoprire come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta Modificare un ruolo personalizzato esistente.

Fai riferimento al log delle modifiche delle autorizzazioni per determinare quali ruoli e autorizzazioni sono stati modificati di recente.

Disabilitazione in corso…

Se non vuoi più che gli amministratori della tua organizzazione utilizzino un ruolo personalizzato, puoi disattivarlo. Per disabilitare il ruolo, modifica la fase di avvio in DISABLED.

I ruoli disattivati vengono comunque visualizzati nei criteri IAM e possono essere assegnati ai principali, ma non hanno alcun effetto.

Per scoprire come disattivare un ruolo personalizzato, consulta la sezione Disattivare un ruolo personalizzato.

Passaggi successivi