Ruoli e autorizzazioni

In questa pagina vengono descritti i ruoli IAM (Identity and Access Management), ovvero raccolte di autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che consente di eseguire azioni specifiche sulle risorse Google Cloud. Per concedere le autorizzazioni alle entità, inclusi utenti, gruppi e account di servizio, devi concedere loro i ruoli.

Prima di iniziare

Impara i concetti di base di IAM.

Tipi di ruoli

Esistono tre tipi di ruoli in IAM:

Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore che esistevano prima dell'introduzione di IAM.
I ruoli predefiniti, che forniscono l'accesso granulare per un servizio specifico, e sono gestiti da Google Cloud.
Ruoli personalizzati, che forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

Visualizza il ruolo nella console Google Cloud.

Vai a Ruoli
Esegui il comando gcloud iam roles describe.
Ottieni il ruolo utilizzando il metodo API REST appropriato:
- Per i ruoli predefiniti, utilizza roles.get().
- Per i ruoli personalizzati a livello di progetto, utilizza projects.roles.get().
- Per i ruoli personalizzati a livello di organizzazione, utilizza organizations.roles.get().
Solo per i ruoli di base e predefiniti: cerca nel riferimento autorizzazioni per verificare se l'autorizzazione è stata concessa dal ruolo.
Solo per i ruoli predefiniti: cerca le descrizioni dei ruoli predefinite per vedere quali autorizzazioni include il ruolo.

Componenti del ruolo

Ciascun ruolo include i seguenti componenti:

Titolo: un nome leggibile per il ruolo. Il titolo viene utilizzato per identificare il ruolo nella console Google Cloud.
Nome: un identificatore per il ruolo in uno dei seguenti formati:
- Ruoli predefiniti: roles/SERVICE.ROLE
- Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/ROLE
- Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/ROLE
Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.
ID: un identificatore univoco per il ruolo. Per i ruoli di base e predefiniti, l'ID è uguale al nome del ruolo. Per i ruoli personalizzati, l'ID è tutto dopo roles/ nel nome del ruolo.
Descrizione: una descrizione leggibile del ruolo.
Fase: la fase del ruolo nel ciclo di vita del lancio, come ALPHA, BETA o GA. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.
Autorizzazioni: le autorizzazioni incluse nel ruolo. Le autorizzazioni consentono ai entità di eseguire azioni specifiche sulle risorse Google Cloud. Quando concedi un ruolo a un'entità, quest'ultima riceve tutte le autorizzazioni del ruolo.

Le autorizzazioni hanno il seguente formato:
```
SERVICE.RESOURCE.VERB
```
Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di sua proprietà e compute.instances.stop consente a un utente di arrestare una VM.

Le autorizzazioni di solito, ma non sempre, corrispondono 1:1 ai metodi REST. Ciò significa che ogni servizio Google Cloud ha un'autorizzazione associata per ciascun metodo REST in suo possesso. Per chiamare un metodo, il chiamante ha bisogno dell'autorizzazione associata. Ad esempio, per chiamare il metodo projects.topics.publish dell'API Pub/Sub, devi disporre dell'autorizzazione pubsub.topics.publish.
ETag: un identificatore della versione del ruolo, per impedire che aggiornamenti si sovrascrivono a vicenda. I ruoli di base e predefiniti hanno sempre l'ETag AA==. Gli ETag per i ruoli personalizzati cambiano ogni volta che modifichi i ruoli.

Ruoli di base

Prima dell'introduzione di IAM esistevano diversi ruoli di base: Proprietario, Editor e Visualizzatore. Questi ruoli sono concentrici, ovvero il ruolo Proprietario include le autorizzazioni nel ruolo Editor e quest'ultimo include le autorizzazioni nel ruolo Visualizzatore. Originariamente erano noti come "ruoli originari".

La tabella seguente riepiloga le autorizzazioni che i ruoli di base includono in tutti i servizi Google Cloud:

Definizioni di base dei ruoli

Nome	Title	Autorizzazioni
`roles/viewer`	Visualizzatore	Autorizzazioni per le azioni di sola lettura che non influiscono sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti.
`roles/editor`	Editor	Tutte le autorizzazioni del visualizzatore, più quelle per le azioni che modificano lo stato, ad esempio la modifica delle risorse esistenti. Nota: il ruolo Editor contiene le autorizzazioni per creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. ma non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per saperne di più su come verificare se un ruolo dispone delle autorizzazioni necessarie, vedi Tipi di ruoli in questa pagina.
`roles/owner`	Proprietario	Tutte le autorizzazioni di Editor e quelle per le seguenti azioni: Gestisci ruoli e autorizzazioni per un progetto e tutte le risorse al suo interno. Impostazione dei pagamenti di un progetto. Nota: La concessione del ruolo Proprietario a livello di risorsa, ad esempio un argomento Pub/Sub, non implica la concessione del ruolo Proprietario nel progetto padre. La concessione del ruolo Proprietario a livello di organizzazione non ti consente di aggiornare i metadati dell'organizzazione. Tuttavia, consente di modificare tutti i progetti e altre risorse all'interno dell'organizzazione. Per concedere il ruolo Proprietario di un progetto a un utente esterno all'organizzazione, devi utilizzare la console Google Cloud, non l'interfaccia a riga di comando gcloud. Se il tuo progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.

Puoi concedere i ruoli di base utilizzando la console Google Cloud, l'API e gcloud CLI. Per istruzioni, consulta l'articolo Concessione, modifica e revoca dell'accesso.

Per scoprire come concedere ruoli utilizzando la console Google Cloud, consulta Concedere, modificare e revocare l'accesso.

Ruoli predefiniti

Oltre ai ruoli di base, IAM fornisce ruoli aggiuntivi predefiniti che consentono un accesso granulare a determinate risorse Google Cloud. Questi ruoli sono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni necessarie, ad esempio quando Google Cloud aggiunge nuove funzionalità o servizi.

Puoi concedere più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli Amministratore rete Compute e Visualizzatore log su un progetto, nonché il ruolo Publisher di Pub/Sub su un argomento Pub/Sub all'interno di quel progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.

Per saperne di più sulla scelta dei ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.

Per un elenco dei ruoli predefiniti, consulta i riferimenti del ruolo.

Ruoli personalizzati

IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, poiché aiutano a garantire che le entità della tua organizzazione dispongano solo delle autorizzazioni necessarie.

I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi concedere il ruolo personalizzato all'organizzazione o al progetto, nonché a tutte le risorse al suo interno.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui lo hai creato. Non puoi assegnare ruoli personalizzati ad altri progetti o organizzazioni o alle risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più delle autorizzazioni IAM supportate.

Autorizzazioni supportate

Nei ruoli personalizzati puoi includere molte autorizzazioni IAM, ma non tutte. Ogni autorizzazione ha uno dei seguenti livelli di assistenza da utilizzare nei ruoli personalizzati:

Livello di supporto	Descrizione
`SUPPORTED`	L'autorizzazione è completamente supportata nei ruoli personalizzati.
`TESTING`	Google sta testando l'autorizzazione per verificare la compatibilità con i ruoli personalizzati. Puoi includere l'autorizzazione nei ruoli personalizzati, ma potresti notare comportamenti imprevisti. Opzione non consigliata per l'uso in produzione.
`NOT_SUPPORTED`	L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere qualsiasi autorizzazione IAM supportata nei ruoli personalizzati. Un ruolo personalizzato a livello di progetto può contenere qualsiasi autorizzazione supportata, ad eccezione delle autorizzazioni che possono essere utilizzate solo a livello di organizzazione o cartella.

Il motivo per cui non puoi includere autorizzazioni specifiche per cartelle e organizzazioni nei ruoli a livello di progetto è che non eseguono alcuna azione quando vengono concesse a livello di progetto. Questo perché le risorse in Google Cloud sono strutturate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la gerarchia delle risorse, vale a dire che sono efficaci per la risorsa e per tutti i discendenti di quella risorsa. Tuttavia, le organizzazioni e le cartelle sono sempre sopra i progetti nella gerarchia delle risorse di Google Cloud. Di conseguenza, non potrai mai utilizzare un'autorizzazione che ti è stata concessa a livello di progetto per accedere alle cartelle o alle organizzazioni. Di conseguenza, le autorizzazioni specifiche per cartella e organizzazione, ad esempio resourcemanager.folders.list, non sono efficaci per i ruoli personalizzati a livello di progetto.

Quando utilizzare i ruoli personalizzati

Nella maggior parte dei casi, dovresti essere in grado di utilizzare i ruoli predefiniti anziché i ruoli personalizzati. I ruoli predefiniti vengono gestiti da Google e vengono aggiornati automaticamente quando vengono aggiunti nuovi servizi, autorizzazioni o funzionalità a Google Cloud. Al contrario, i ruoli personalizzati non vengono gestiti da Google; quando Google Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, i ruoli personalizzati non vengono aggiornati automaticamente.

Tuttavia, potresti voler creare un ruolo personalizzato nelle seguenti situazioni:

Un'entità ha bisogno di un'autorizzazione, ma ogni ruolo predefinito che include questa autorizzazione include anche le autorizzazioni di cui non ha bisogno e che non deve avere.
Puoi utilizzare i consigli sui ruoli per sostituire le concessioni di ruolo eccessivamente permissive con quelle più appropriate. In alcuni casi, potresti ricevere un consiglio per creare un ruolo personalizzato.

Inoltre, tieni presente i seguenti limiti:

I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, le dimensioni massime massime di titolo, descrizione e nomi autorizzazioni per un ruolo personalizzato sono di 64 kB.
Esistono alcuni limiti al numero di ruoli personalizzati che puoi creare:
- Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione nella tua organizzazione
- Puoi creare fino a 300 ruoli personalizzati a livello di progetto in ogni progetto della tua organizzazione.

Dipendenze autorizzazione

Alcune autorizzazioni sono valide soltanto se vengono concesse insieme. Ad esempio, per aggiornare un criterio di autorizzazione, è necessario leggere il criterio prima di poterlo modificare e scriverlo. Di conseguenza, per aggiornare un criterio di autorizzazione, devi avere quasi sempre l'autorizzazione getIamPolicy per quel servizio e tipo di risorsa, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi crearli in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati tenendo conto di attività specifiche e contengono tutte le autorizzazioni necessarie per eseguirle. Puoi rivedere questi ruoli per sapere quali autorizzazioni vengono concesse di solito insieme. Successivamente, puoi utilizzare queste informazioni per progettare ruoli personalizzati efficaci.

Per scoprire come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.

Ciclo di vita di ruoli personalizzati

Le seguenti sezioni descrivono le considerazioni chiave in ogni fase del ciclo di vita di un ruolo personalizzato. Puoi utilizzare queste informazioni per stabilire come creare e gestire i ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti consentano di identificarlo:

ID ruolo: l'ID ruolo è un identificatore univoco per il ruolo. Può contenere fino a 64 byte di lunghezza e può contenere caratteri alfanumerici maiuscoli e minuscoli, trattini bassi e punti. Non puoi riutilizzare un ID ruolo all'interno di un'organizzazione o di un progetto.

Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi creare un nuovo ruolo personalizzato con lo stesso ID nella stessa organizzazione o nello stesso progetto fino al completamento del processo di eliminazione di 44 giorni. Per saperne di più sulla procedura di eliminazione, vedi Eliminare un ruolo personalizzato.
Titolo del ruolo: il titolo del ruolo appare nell'elenco dei ruoli nella console Google Cloud. Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i tuoi ruoli. Valuta anche la possibilità di indicare nel titolo del ruolo se è stato creato a livello di organizzazione o di progetto.

I titoli dei ruoli possono contenere fino a 100 byte e possono contenere caratteri alfanumerici maiuscoli e minuscoli. Puoi modificare i titoli dei ruoli in qualsiasi momento.
Descrizione del ruolo: è un campo facoltativo in cui puoi fornire ulteriori informazioni su un ruolo. Ad esempio, puoi includere la finalità prevista del ruolo, la data di creazione o modifica di un ruolo e qualsiasi ruolo predefinito su cui si basa il ruolo personalizzato. Le descrizioni possono contenere fino a 256 byte e possono contenere caratteri alfanumerici minuscoli e minuscoli.

Tieni inoltre presenti le dipendenze dalle autorizzazioni durante la creazione dei ruoli personalizzati.

Per scoprire come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.

Avvia

I ruoli personalizzati includono una fase di lancio come parte dei metadati del ruolo. Le fasi di lancio più comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Queste fasi di lancio sono informative: ti aiutano a monitorare se ogni ruolo è pronto per un uso ampio. Un'altra fase di lancio comune è la DISABLED. Questa fase di lancio ti consente di disattivare un ruolo personalizzato.

Consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni sul ruolo:

EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include le autorizzazioni per servizi o funzionalità Google Cloud non ancora pubblici. Non è pronto per l'uso su vasta scala.
BETA: il ruolo è stato testato su base limitata oppure include le autorizzazioni per i servizi o le funzionalità di Google Cloud che non sono generalmente disponibili.
GA: il ruolo è stato testato su larga scala e tutte le relative autorizzazioni riguardano servizi o funzionalità di Google Cloud generalmente disponibili.
DEPRECATED: il ruolo non è più in uso.

Per informazioni su come modificare la fase di lancio di un ruolo, consulta Modifica di un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ad esempio, puoi aggiornare i ruoli quando cambiano le responsabilità degli utenti e aggiornare i ruoli per consentire agli utenti di accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato su ruoli predefiniti, consigliamo di controllare regolarmente questi ruoli predefiniti per verificare la presenza di eventuali modifiche alle autorizzazioni. Il monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare che un ruolo predefinito è stato aggiornato con le autorizzazioni per utilizzare una nuova funzionalità di anteprima, oltre a decidere di aggiungere queste autorizzazioni anche al tuo ruolo personalizzato.

Per semplificare l'individuazione dei ruoli predefiniti da monitorare, ti consigliamo di elencare nel campo della descrizione i ruoli predefiniti basati su questo ruolo personalizzato. La console Google Cloud esegue questa operazione automaticamente quando utilizzi la console Google Cloud per creare un ruolo personalizzato in base ai ruoli predefiniti.

Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta Modifica di un ruolo personalizzato esistente.

Consulta il log delle modifiche delle autorizzazioni per determinare i ruoli e le autorizzazioni modificati di recente.

Disabilitazione in corso…

Se non vuoi più che un'entità della tua organizzazione utilizzi un ruolo personalizzato, puoi disabilitarlo. Per disattivare il ruolo, imposta la fase di lancio su DISABLED.

I ruoli disattivati vengono comunque visualizzati nei criteri IAM e possono essere concessi alle entità, ma non hanno alcun effetto.

Per informazioni su come disattivare un ruolo personalizzato, consulta l'articolo Disattivare un ruolo personalizzato.

Passaggi successivi

Scopri come concedere ruoli IAM alle entità.
Scopri come scegliere i ruoli predefiniti più appropriati.
Scopri come creare ruoli personalizzati.
Utilizza lo Strumento per la risoluzione dei problemi relativi ai criteri per capire perché un utente ha o non ha accesso a una risorsa o non è autorizzato a chiamare un'API.