La maggior parte delle risorse Google Cloud espongono il metodo testIamPermissions()
, che
consente di verificare in modo programmatico se al chiamante attualmente autenticato
sono state concesse una o più autorizzazioni IAM specifiche sulla
risorsa. Il metodo testIamPermissions()
prende un identificatore di risorsa e un
insieme di autorizzazioni come parametri di input e restituisce l'insieme di autorizzazioni
consentite dal chiamante.
Puoi utilizzare il metodo testIamPermissions()
per determinare se un utente deve avere accesso a uno strumento di amministrazione in un'applicazione web. Ad esempio, puoi utilizzare questo metodo per decidere, in base alle autorizzazioni dell'utente, se visualizzare informazioni dettagliate su una risorsa Google Cloud.
Ad esempio, per determinare se l'utente attualmente autenticato ha l'autorizzazione
per eliminare un progetto, chiama il metodo
projects.testIamPermissions()
fornendo l'ID progetto (come foo-project
) e l'autorizzazione
resourcemanager.projects.delete
come parametri di input. Se al chiamante è stata concessa l'autorizzazione resourcemanager.projects.delete
, questa verrà elencata nel corpo della risposta. Se il chiamante non dispone di questa autorizzazione,
nel corpo della risposta non verrà elencata alcuna autorizzazione.
Il metodo testIamPermissions()
è destinato a Graphic User Interface (GUI) di terze parti che devono visualizzare le risorse Google Cloud in base alle autorizzazioni di visualizzazione disponibili per l'utente autenticato. Ad esempio, la console Google Cloud utilizza internamente il metodo testIamPermissions()
per determinare quali risorse e funzionalità sono visibili dopo l'autenticazione. A utenti diversi vengono generalmente concesse autorizzazioni diverse e la console Google Cloud nasconde o espone gli elementi di conseguenza.
Prima di iniziare
Attiva Resource Manager API.
Configurare l'autenticazione.
Seleziona la scheda relativa a come prevedi di utilizzare gli esempi in questa pagina:
C++
Per utilizzare gli esempi C++ in questa pagina da un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
Per saperne di più, consulta Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
C#
Per utilizzare gli esempi .NET in questa pagina da un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
Per saperne di più, consulta Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Java
Per utilizzare gli esempi Java in questa pagina da un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
Per saperne di più, consulta Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Python
Per utilizzare gli esempi Python in questa pagina da un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
Per saperne di più, consulta Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Ruoli obbligatori
Non è necessario alcun ruolo IAM per testare le autorizzazioni.
Come testare le autorizzazioni
Questo esempio mostra come testare le autorizzazioni resourcemanager.projects.get
e resourcemanager.projects.delete
per un progetto Google Cloud. Per testare le autorizzazioni per altre risorse Google Cloud, utilizza il metodo testIamPermissions()
esposto da ogni risorsa. Ad esempio, puoi testare le autorizzazioni IAM per un bucket Cloud Storage.
C++
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM C++.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
C#
Per eseguire l'autenticazione in Resource Manager, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta Librerie client di Resource Manager.
IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.
Java
Per eseguire l'autenticazione in Resource Manager, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta Librerie client di Resource Manager.
IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.
Python
Per eseguire l'autenticazione in Resource Manager, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta Librerie client di Resource Manager.
IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.
REST
In questo esempio, l'utente ha un ruolo IAM che consente di ottenere informazioni su un progetto, ma non di eliminare i progetti.
Il metodo projects.testIamPermissions
dell'API Resource Manager accetta un elenco di autorizzazioni e verifica quali delle autorizzazioni dispone di un'entità.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.
Metodo HTTP e URL:
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions
Corpo JSON della richiesta:
{ "permissions": [ "resourcemanager.projects.get", "resourcemanager.projects.delete" ] }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "permissions": [ "resourcemanager.projects.get" ] }
Passaggi successivi
Scopri come concedere, modificare e revocare l'accesso alle entità.