Testare le autorizzazioni per le interfacce utente personalizzate

La maggior parte delle risorse Google Cloud espongono il metodo testIamPermissions(), che consente di verificare in modo programmatico se al chiamante attualmente autenticato sono state concesse una o più autorizzazioni IAM specifiche sulla risorsa. Il metodo testIamPermissions() accetta un identificatore di risorsa e un insieme di autorizzazioni come parametri di input e restituisce l'insieme di autorizzazioni consentite dal chiamante.

Puoi utilizzare il metodo testIamPermissions() per determinare se un utente deve avere accesso a uno strumento di amministrazione in un'applicazione web. Ad esempio, puoi utilizzare questo metodo per decidere, in base alle autorizzazioni dell'utente, se visualizzare informazioni dettagliate su una risorsa Google Cloud.

Ad esempio, per determinare se l'utente attualmente autenticato dispone dell'autorizzazione per eliminare un progetto, chiama il metodo projects.testIamPermissions() fornendo l'ID progetto (ad esempio foo-project) e l'autorizzazione resourcemanager.projects.delete come parametri di input. Se al chiamante è stata concessa l'autorizzazione resourcemanager.projects.delete, verrà elencata nel corpo della risposta. Se il chiamante non dispone di questa autorizzazione, nel corpo della risposta non verrà elencata alcuna autorizzazione.

Il metodo testIamPermissions() è destinato a Graphic User Interface (GUI) di terze parti che devono visualizzare le risorse Google Cloud in base alle autorizzazioni visibili all'utente autenticato. Ad esempio, la console Google Cloud utilizza internamente il metodo testIamPermissions() per determinare quali risorse e funzionalità sono visibili dopo l'autenticazione. A utenti diversi vengono in genere concesse autorizzazioni diverse e la console Google Cloud nasconde o espone gli elementi di conseguenza.

Prima di iniziare

Attiva Resource Manager API.
Abilita l'API

Ruoli obbligatori

Non è necessario alcun ruolo IAM per testare le autorizzazioni.

Come testare le autorizzazioni

Questo esempio mostra come testare le autorizzazioni resourcemanager.projects.get e resourcemanager.projects.delete per un progetto Google Cloud. Per testare le autorizzazioni per altre risorse Google Cloud, utilizza il metodo testIamPermissions() esposto da ogni risorsa. Ad esempio, puoi testare le autorizzazioni IAM per un bucket Cloud Storage.

REST

In questo esempio, l'utente ha un ruolo IAM che consente di ottenere informazioni su un progetto, ma non di eliminare i progetti.

Il metodo projects.testIamPermissions dell'API Resource Manager accetta un elenco di autorizzazioni e verifica quali delle autorizzazioni dispone di un'entità.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions

Corpo JSON richiesta:

{
  "permissions":  [
    "resourcemanager.projects.get",
    "resourcemanager.projects.delete"
  ]
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando di gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti permette di accedere automaticamente all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri la pagina di riferimento del metodo. Il riquadro Explorer API si apre sul lato destro della pagina. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila gli altri campi obbligatori e fai clic su Esegui.

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "permissions": [
    "resourcemanager.projects.get"
  ]
}

C++

Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ IAM.

Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.

Visualizza su GitHub Feedback

namespace iam = ::google::cloud::iam_admin_v1;
[](std::string const& name, std::vector<std::string> const& permissions) {
  iam::IAMClient client(iam::MakeIAMConnection());
  auto response = client.TestIamPermissions(name, permissions);
  if (!response) throw std::move(response).status();
  std::cout << "Permissions successfully tested: " << response->DebugString()
            << "\n";
}

C#

Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# IAM.

Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.

IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.

Visualizza su GitHub Feedback


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static IList<String> TestIamPermissions(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        TestIamPermissionsRequest requestBody = new TestIamPermissionsRequest();
        var permissions = new List<string>() { "resourcemanager.projects.get", "resourcemanager.projects.delete" };
        requestBody.Permissions = new List<string>(permissions);
        var returnedPermissions = service.Projects.TestIamPermissions(requestBody, projectId).Execute().Permissions;

        return returnedPermissions;
    }
}

Java

Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java IAM.

Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.

IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.

Visualizza su GitHub Feedback

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.TestIamPermissionsRequest;
import com.google.api.services.cloudresourcemanager.v3.model.TestIamPermissionsResponse;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

public class TestPermissions {

  // Tests if the caller has the listed permissions.
  public static void testPermissions(String projectId) {
    // projectId = "my-project-id"

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return;
    }

    List<String> permissionsList =
        Arrays.asList("resourcemanager.projects.get", "resourcemanager.projects.delete");

    TestIamPermissionsRequest requestBody =
        new TestIamPermissionsRequest().setPermissions(permissionsList);
    try {
      TestIamPermissionsResponse testIamPermissionsResponse =
          service.projects().testIamPermissions(projectId, requestBody).execute();

      System.out.println(
          "Of the permissions listed in the request, the caller has the following: "
              + testIamPermissionsResponse.getPermissions().toString());
    } catch (IOException e) {
      System.out.println("Unable to test permissions: \n" + e.toString());
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python IAM.

Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.

IAM verifica le autorizzazioni dell'account di servizio che stai utilizzando per generare le credenziali.

Visualizza su GitHub Feedback

def test_permissions(project_id: str) -> dict:
    """Tests IAM permissions of the caller"""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )

    permissions = {
        "permissions": [
            "resourcemanager.projects.get",
            "resourcemanager.projects.delete",
        ]
    }

    request = service.projects().testIamPermissions(
        resource=project_id, body=permissions
    )
    returnedPermissions = request.execute()
    print(returnedPermissions)
    return returnedPermissions

Passaggi successivi

Scopri come concedere, modificare e revocare l'accesso alle entità.