Ruoli e autorizzazioni

In questa pagina vengono descritti i ruoli di Identity and Access Management (IAM), che sono raccolte di autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che consente di eseguire azioni specifiche sulle risorse di Google Cloud. Per rendere disponibili le autorizzazioni per le entità, inclusi utenti, gruppi e account di servizio, devi concedere loro i ruoli.

Prima di iniziare

Tipi di ruolo

In IAM esistono questi tre tipi di ruoli:

  • Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore che esistevano prima dell'introduzione di IAM.
  • I ruoli predefiniti, che consentono l'accesso granulare per un servizio specifico, e sono gestiti da Google Cloud.
  • Ruoli personalizzati, che forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

Componenti del ruolo

Ogni ruolo include i seguenti componenti:

  • Titolo: un nome leggibile per il ruolo. Il titolo del ruolo viene utilizzato per identificare il ruolo nella console Google Cloud.

  • Nome: un identificatore per il ruolo in uno dei seguenti formati:

    • Ruoli predefiniti: roles/SERVICE.ROLE
    • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/ROLE
    • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/ROLE

    Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.

  • ID: identificatore univoco del ruolo. Per i ruoli di base e predefiniti, l'ID è uguale al nome del ruolo. Per i ruoli personalizzati, l'ID è tutto dopo il nome roles/ nel nome del ruolo.

  • Descrizione: una descrizione leggibile del ruolo.

  • Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio ALPHA, BETA o GA. Per ulteriori informazioni sulle fasi di lancio, consulta la pagina Test e deployment.

  • Autorizzazioni: le autorizzazioni incluse nel ruolo. Le autorizzazioni consentono ai proprietari di eseguire azioni specifiche sulle risorse Google Cloud. Quando concedi un ruolo a un'entità, l'entità ottiene tutte le autorizzazioni nel ruolo.

    Le autorizzazioni hanno il seguente formato:

    SERVICE.RESOURCE.VERB

    Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di sua proprietà e compute.instances.stop consente a un utente di arrestare una VM.

    Le autorizzazioni di solito, ma non sempre, corrispondono 1:1 ai metodi REST. In altre parole, ogni servizio Google Cloud ha un'autorizzazione associata per ogni metodo REST. Per chiamare un metodo, il chiamante ha bisogno dell'autorizzazione associata. Ad esempio, per chiamare il metodo projects.topics.publish dell'API Pub/Sub, devi disporre dell'autorizzazione pubsub.topics.publish.

  • ETag: un identificatore della versione del ruolo, che contribuisce a impedire che gli aggiornamenti si sovrascrivano a vicenda. I ruoli di base e predefiniti hanno sempre l'ETag AA==. Gli eTag per i ruoli personalizzati cambiano ogni volta che li modifichi.

Ruoli di base

I ruoli di base sono ruoli altamente permissivi che esistevano prima dell'introduzione di IAM. Originariamente erano noti come ruoli originari. Puoi utilizzare i ruoli di base per concedere alle entità un ampio accesso alle risorse Google Cloud.

Quando concedi un ruolo di base a un'entità, l'entità ottiene tutte le autorizzazioni del ruolo di base. Ricevono inoltre tutte le autorizzazioni che i servizi forniscono alle entità con ruoli di base, ad esempio le autorizzazioni ottenute tramite i valori di convenienza di Cloud Storage e l'appartenenza a un gruppo speciale di BigQuery.

La seguente tabella riassume le autorizzazioni che i ruoli di base concedono agli utenti su tutti i servizi Google Cloud:

Ruoli di base Autorizzazioni
Visualizzatore (roles/viewer)

Autorizzazioni per le azioni di sola lettura che non influiscono sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti.

Per un elenco delle autorizzazioni nel ruolo Visualizzatore, visualizza i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Visualizzatore

Editor (roles/editor)

Tutte le autorizzazioni del visualizzatore, più quelle per le azioni che modificano lo stato, ad esempio la modifica delle risorse esistenti.

Le autorizzazioni del ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo ha le autorizzazioni necessarie, consulta Tipi di ruolo in questa pagina.

Per un elenco delle autorizzazioni nel ruolo Editor, visualizza i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Editor

Proprietario (roles/owner)

Tutte le autorizzazioni Editor, più le seguenti azioni:

  • Gestisci i ruoli e le autorizzazioni per un progetto e tutte le risorse all'interno del progetto.
  • Impostazione dei pagamenti di un progetto.

Per un elenco delle autorizzazioni nel ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Proprietario

Puoi concedere i ruoli di base utilizzando la console Google Cloud, l'API e l'interfaccia alla gcloud CLI. Tuttavia, per concedere il ruolo Proprietario su un progetto a un utente esterno all'organizzazione, devi utilizzare la console Google Cloud, non l'interfaccia alla gcloud CLI. Se il tuo progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.

Per le istruzioni, consulta la pagina Concedere, modificare e revocare l'accesso.

Ruoli predefiniti

Oltre ai ruoli di base, IAM fornisce ulteriori ruoli predefiniti che forniscono un accesso granulare a specifiche risorse Google Cloud. Questi ruoli vengono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni in base alle esigenze, ad esempio quando Google Cloud aggiunge nuove funzionalità o nuovi servizi.

Puoi concedere più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli Amministratore rete Compute e Visualizzatore log per un progetto e anche il ruolo Publisher Pub/Sub per un argomento Pub/Sub all'interno di tale progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.

Per assistenza nella scelta dei ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.

Per un elenco dei ruoli predefiniti, consulta il riferimento dei ruoli.

Ruoli personalizzati

IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, perché aiutano a garantire che le entità della tua organizzazione dispongano solo delle autorizzazioni necessarie.

I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi concedere il ruolo personalizzato all'organizzazione o al progetto, nonché a qualsiasi risorsa all'interno dell'organizzazione o del progetto.

Puoi concedere un ruolo personalizzato solo nel progetto o nell'organizzazione in cui lo hai creato. Non puoi concedere ruoli personalizzati ad altri progetti o organizzazioni o a risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più autorizzazioni IAM supportate.

Autorizzazioni supportate

Nei ruoli personalizzati puoi includere molte, ma non tutte, autorizzazioni IAM. Ogni autorizzazione prevede uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:

Livello di assistenza Descrizione
SUPPORTED L'autorizzazione è completamente supportata nei ruoli personalizzati.
TESTING Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includere l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. Sconsigliato per l'uso in produzione.
NOT_SUPPORTED L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere qualsiasi autorizzazione IAM supportata nei ruoli personalizzati. Un ruolo personalizzato a livello di progetto può contenere qualsiasi autorizzazione supportata, tranne che possono essere utilizzate solo a livello di organizzazione o cartella.

Il motivo per cui non puoi includere autorizzazioni specifiche per cartella e organizzazione in ruoli a livello di progetto è che non fanno nulla quando vengono concesse a livello di progetto. Questo avviene perché le risorse in Google Cloud sono organizzate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la gerarchia delle risorse, vale a dire che sono valide per la risorsa e per tutti i discendenti della risorsa. Tuttavia, le organizzazioni e le cartelle sono sempre sopra i progetti nella gerarchia delle risorse di Google Cloud. Di conseguenza, non potrai mai utilizzare un'autorizzazione concessa a livello di progetto per accedere alle cartelle o alle organizzazioni. Di conseguenza, le autorizzazioni specifiche per cartella e organizzazione, ad esempio resourcemanager.folders.list, sono inefficaci per i ruoli personalizzati a livello di progetto.

Quando utilizzare i ruoli personalizzati

Nella maggior parte dei casi, dovresti essere in grado di utilizzare ruoli predefiniti anziché ruoli personalizzati. I ruoli predefiniti vengono gestiti da Google e vengono aggiornati automaticamente quando vengono aggiunti nuovi servizi, autorizzazioni o funzionalità a Google Cloud. Al contrario, i ruoli personalizzati non vengono gestiti da Google. Quando Google Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, i ruoli personalizzati non vengono aggiornati automaticamente.

Tuttavia, puoi creare un ruolo personalizzato nelle seguenti situazioni:

  • Un'entità ha bisogno di un'autorizzazione, ma ogni ruolo predefinito che include questa autorizzazione include anche le autorizzazioni di cui non ha bisogno e che non dovrebbe avere.
  • I ruoli consigliati sostituiscono le concessioni di ruoli eccessivamente permissive con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere un consiglio per creare un ruolo personalizzato.

Inoltre, tieni presente i seguenti limiti:

  • I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, la dimensione totale massima del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato è di 64 kB.

  • Esistono dei limiti al numero di ruoli personalizzati che puoi creare:

    • Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione nella tua organizzazione
    • Puoi creare fino a 300 ruoli personalizzati a livello di progetto in ogni progetto nella tua organizzazione.

Dipendenze autorizzazione

Alcune autorizzazioni sono valide soltanto se concesse insieme. Ad esempio, per aggiornare un criterio di autorizzazione, devi leggere il criterio prima di poterlo modificare e scrivere. Di conseguenza, per aggiornare un criterio di autorizzazione, hai quasi sempre bisogno dell'autorizzazione getIamPolicy per il servizio e il tipo di risorsa specifici, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi creare ruoli personalizzati in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati in base a attività specifiche e contengono tutte le autorizzazioni necessarie per eseguirle. La revisione di questi ruoli può aiutarti a vedere quali autorizzazioni vengono solitamente concesse insieme. Puoi quindi utilizzare queste informazioni per progettare ruoli personalizzati efficaci.

Per scoprire come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione dei ruoli personalizzati.

Ciclo di vita dei ruoli personalizzati

Le seguenti sezioni descrivono le considerazioni chiave chiave in ogni fase del ciclo di vita di un ruolo personalizzato. Puoi utilizzare queste informazioni per stabilire come creare e gestire i ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiutino a identificare il ruolo:

  • ID ruolo: l'ID ruolo è un identificatore univoco per il ruolo. Può avere una lunghezza massima di 64 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli, trattini bassi e punti. Non puoi riutilizzare un ID ruolo all'interno di un'organizzazione o un progetto.

    Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi creare un nuovo ruolo personalizzato con lo stesso ID nella stessa organizzazione o nello stesso progetto fino al completamento del processo di eliminazione di 44 giorni. Per ulteriori informazioni sulla procedura di eliminazione, consulta Eliminazione di un ruolo personalizzato.

  • Titolo del ruolo: il titolo del ruolo appare nell'elenco dei ruoli nella console Google Cloud. Il titolo non deve essere univoco, ma è consigliabile utilizzare titoli univoci e descrittivi per distinguere meglio i ruoli. Valuta anche la possibilità di indicare nel titolo del ruolo se il ruolo è stato creato a livello di organizzazione o di progetto.

    I titoli dei ruoli possono contenere fino a 100 byte e possono contenere caratteri alfanumerici maiuscoli e minuscoli. Puoi modificare i titoli dei ruoli in qualsiasi momento.

  • Descrizione del ruolo: è un campo facoltativo in cui puoi fornire ulteriori informazioni su un ruolo. Ad esempio, potresti includere lo scopo previsto del ruolo, la data di creazione o modifica di un ruolo e gli eventuali ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono contenere fino a 256 byte e contenere caratteri alfanumerici maiuscoli e minuscoli.

Inoltre, tieni sempre presenti le dipendenze di autorizzazione durante la creazione dei ruoli personalizzati.

Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione dei ruoli personalizzati.

Avvia

I metadati personalizzati includono una fase di lancio nei metadati del ruolo. Le fasi di lancio più comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Queste fasi di lancio sono informative: ti aiutano a tenere traccia del fatto che ogni ruolo sia pronto per un uso ampio. Un'altra fase di lancio comune è DISABLED. Questa fase di lancio ti consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni sul ruolo:

  • EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include le autorizzazioni per i servizi o le funzionalità Google Cloud non ancora pubblici. Non è pronto per l'uso diffuso.
  • BETA: il ruolo è stato testato su base limitata oppure include autorizzazioni per servizi o funzionalità Google Cloud che non sono generalmente disponibili.
  • GA: il ruolo è stato testato su larga scala e tutte le sue autorizzazioni sono per i servizi o le funzionalità Google Cloud generalmente disponibili.
  • DEPRECATED: il ruolo non è più in uso.

Per informazioni sulla modifica della fase di lancio di un ruolo, vedi Modificare un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli quando le responsabilità degli utenti cambiano, nonché l'aggiornamento dei ruoli per consentire agli utenti di accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato su ruoli predefiniti, ti consigliamo di controllare periodicamente che questi ruoli predefiniti abbiano modifiche alle autorizzazioni. Il monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare che un ruolo predefinito è stato aggiornato con le autorizzazioni per utilizzare una nuova funzionalità di anteprima e potresti decidere di aggiungere anche queste autorizzazioni al ruolo personalizzato.

Per semplificare la visualizzazione dei ruoli predefiniti da monitorare, ti consigliamo di elencare gli eventuali ruoli predefiniti su cui si basa il ruolo personalizzato nel campo della descrizione del ruolo personalizzato. La console Google Cloud esegue questa operazione automaticamente quando utilizzi la console Google Cloud per creare un ruolo personalizzato in base ai ruoli predefiniti.

Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta Modifica di un ruolo personalizzato esistente.

Consulta il log delle modifiche delle autorizzazioni per determinare i ruoli e le autorizzazioni modificati di recente.

Disabilitazione in corso…

Se non vuoi più che un'entità nella tua organizzazione utilizzi un ruolo personalizzato, puoi disabilitarlo. Per disattivare il ruolo, imposta la fase di lancio su DISABLED.

I ruoli disabilitati continuano a essere visualizzati nei criteri IAM e possono essere concessi alle entità, ma non hanno alcun effetto.

Per informazioni su come disattivare un ruolo personalizzato, consulta la sezione Disattivazione di un ruolo personalizzato.

Passaggi successivi