Ruoli e autorizzazioni

In questa pagina vengono descritti i ruoli IAM (Identity and Access Management), che sono raccolte di autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che consentono di eseguire azioni specifiche sulle risorse Google Cloud. Per rendere disponibili le autorizzazioni alle entità, inclusi utenti, gruppi e account di servizio, devi assegnare i ruoli alle entità.

Prima di iniziare

Impara i concetti di base di IAM.

Tipi di ruoli

In IAM esistono tre tipi di ruoli:

Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
Ruoli predefiniti, che forniscono un accesso granulare a un servizio specifico e sono gestiti da Google Cloud.
Ruoli personalizzati, che forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

Visualizza il ruolo nella console Google Cloud.

Vai a Ruoli
Esegui il comando gcloud iam roles describe.
Ottieni il ruolo utilizzando il metodo dell'API REST appropriato:
- Per i ruoli predefiniti, utilizza roles.get().
- Per i ruoli personalizzati a livello di progetto, utilizza projects.roles.get().
- Per i ruoli personalizzati a livello di organizzazione, utilizza organizations.roles.get().
Solo per i ruoli di base e predefiniti: cerca nel riferimento sulle autorizzazioni per verificare se l'autorizzazione è concessa dal ruolo.
Solo per i ruoli predefiniti: cerca nelle descrizioni dei ruoli predefiniti per vedere le autorizzazioni incluse nel ruolo.

Componenti del ruolo

Ogni ruolo include i seguenti componenti:

Titolo: un nome leggibile per il ruolo. Il titolo del ruolo viene utilizzato per identificare il ruolo nella console Google Cloud.
Nome: un identificatore per il ruolo in uno dei seguenti formati:
- Ruoli predefiniti: roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER
Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.
ID: un identificatore univoco del ruolo. Per i ruoli di base e predefiniti, l'ID corrisponde al nome del ruolo. Per i ruoli personalizzati, l'ID è la parte successiva a roles/ nel nome del ruolo.
Descrizione: una descrizione leggibile del ruolo.
Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio ALPHA, BETA o GA. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.
Autorizzazioni: le autorizzazioni incluse nel ruolo. Le autorizzazioni consentono alle entità di eseguire azioni specifiche sulle risorse Google Cloud. Quando concedi un ruolo a un'entità, quest'ultima riceve tutte le autorizzazioni del ruolo.

Il formato delle autorizzazioni è il seguente:
```
SERVICE.RESOURCE.VERB
```
Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze di Compute Engine di sua proprietà, mentre compute.instances.stop consente a un utente di arrestare una VM.

Le autorizzazioni di solito, ma non sempre, corrispondono 1:1 ai metodi REST. In altre parole, a ogni servizio Google Cloud è associata un'autorizzazione per ogni metodo REST associato. Per chiamare un metodo, il chiamante deve disporre dell'autorizzazione associata. Ad esempio, per chiamare il metodo projects.topics.publish dell'API Pub/Sub, devi avere l'autorizzazione pubsub.topics.publish.
ETag: un identificatore della versione del ruolo per impedire che aggiornamenti simultanei si sovrascrivano a vicenda. I ruoli di base e predefiniti hanno sempre l'ETag AA==. Gli ETag per i ruoli personalizzati cambiano ogni volta che modifichi i ruoli.

Ruoli di base

I ruoli di base sono ruoli altamente permissivi che esistevano prima dell'introduzione di IAM. Originariamente erano noti come ruoli primitivi. Puoi utilizzare i ruoli di base per concedere alle entità un ampio accesso alle risorse Google Cloud.

Se concedi un ruolo di base a un'entità, quest'ultima riceve tutte le autorizzazioni del ruolo di base. Avranno inoltre tutte le autorizzazioni fornite dai servizi alle entità con ruoli di base, ad esempio le autorizzazioni ottenute tramite i valori di comodità di Cloud Storage e l'appartenenza al gruppo speciale di BigQuery.

La tabella seguente riassume le autorizzazioni concesse agli utenti dai ruoli di base in tutti i servizi Google Cloud:

Ruoli di base Autorizzazioni

Ruoli di base	Autorizzazioni
Visualizzatore (`roles/viewer`)	Autorizzazioni per le azioni di sola lettura che non influiscono sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti. Per un elenco delle autorizzazioni nel ruolo Visualizzatore, vedi i dettagli del ruolo nella console Google Cloud: Vai al ruolo Visualizzatore
Editor (`roles/editor`)	Tutte le autorizzazioni del visualizzatore, più quelle per le azioni che modificano lo stato, ad esempio la modifica delle risorse esistenti. Le autorizzazioni del ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo dispone delle autorizzazioni necessarie, consulta Tipi di ruolo in questa pagina. Per un elenco delle autorizzazioni nel ruolo Editor, vedi i dettagli del ruolo nella console Google Cloud: Vai al ruolo Editor
Proprietario (`roles/owner`)	Tutte le autorizzazioni di Editor, oltre a quelle per azioni come le seguenti: Il completamento di attività sensibili, come la creazione di applicazioni App Engine. Gestione dei ruoli e delle autorizzazioni per un progetto e per tutte le risorse all'interno del progetto Configurazione della fatturazione per un progetto Per un elenco delle autorizzazioni nel ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud: Vai al ruolo Proprietario

Visualizzatore (roles/viewer)

Autorizzazioni per le azioni di sola lettura che non influiscono sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti.

Per un elenco delle autorizzazioni nel ruolo Visualizzatore, vedi i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Visualizzatore

Editor (roles/editor)

Tutte le autorizzazioni del visualizzatore, più quelle per le azioni che modificano lo stato, ad esempio la modifica delle risorse esistenti.

Le autorizzazioni del ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo dispone delle autorizzazioni necessarie, consulta Tipi di ruolo in questa pagina.

Per un elenco delle autorizzazioni nel ruolo Editor, vedi i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Editor

Proprietario (roles/owner)

Tutte le autorizzazioni di Editor, oltre a quelle per azioni come le seguenti:

Il completamento di attività sensibili, come la creazione di applicazioni App Engine.
Gestione dei ruoli e delle autorizzazioni per un progetto e per tutte le risorse all'interno del progetto
Configurazione della fatturazione per un progetto

Per un elenco delle autorizzazioni nel ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud:

Vai al ruolo Proprietario

Puoi concedere ruoli di base utilizzando la console Google Cloud, l'API e gcloud CLI. Tuttavia, per concedere il ruolo di proprietario su un progetto a un utente esterno all'organizzazione, devi utilizzare la console Google Cloud, non gcloud CLI. Se il progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo di proprietario.

Per le istruzioni, vedi Concessione, modifica e revoca dell'accesso.

Ruoli predefiniti

Oltre ai ruoli di base, IAM fornisce ruoli predefiniti aggiuntivi che danno accesso granulare a risorse Google Cloud specifiche. Questi ruoli sono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni secondo necessità, ad esempio quando Google Cloud aggiunge nuove funzionalità o servizi.

Puoi concedere più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli Amministratore rete Compute e Visualizzatore log per un progetto e anche il ruolo Publisher Pub/Sub per un argomento Pub/Sub all'interno del progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Recupero dei metadati dei ruoli.

Per scegliere i ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.

Per un elenco dei ruoli predefiniti, consulta il riferimento dei ruoli.

Ruoli personalizzati

IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati ti aiutano ad applicare il principio del privilegio minimo, perché contribuiscono a garantire che le entità della tua organizzazione dispongano solo delle autorizzazioni di cui hanno bisogno.

I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi concedere il ruolo personalizzato all'organizzazione o al progetto, nonché a eventuali risorse all'interno dell'organizzazione o del progetto.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui lo hai creato. Non puoi concedere ruoli personalizzati su altri progetti o organizzazioni oppure su risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più autorizzazioni IAM supportate.

Autorizzazioni supportate

Puoi includere molte autorizzazioni IAM, ma non tutte, nei ruoli personalizzati. Ogni autorizzazione prevede uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:

Livello di assistenza	Descrizione
`SUPPORTED`	L'autorizzazione è completamente supportata nei ruoli personalizzati.
`TESTING`	Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includere l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. Sconsigliato per l'uso in produzione.
`NOT_SUPPORTED`	L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere qualsiasi autorizzazione IAM supportata nei ruoli personalizzati. Un ruolo personalizzato a livello di progetto può contenere qualsiasi autorizzazione supportata, tranne le autorizzazioni che possono essere utilizzate solo a livello di organizzazione o cartella.

Il motivo per cui non puoi includere autorizzazioni specifiche per cartella e organizzazione nei ruoli a livello di progetto è che non fanno nulla quando vengono concesse a livello di progetto. Questo perché le risorse in Google Cloud sono organizzate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la gerarchia delle risorse, il che significa che sono efficaci per la risorsa e per tutti i relativi discendenti. Tuttavia, le organizzazioni e le cartelle sono sempre al di sopra dei progetti nella gerarchia delle risorse di Google Cloud. Di conseguenza, non potrai mai utilizzare un'autorizzazione che ti è stata concessa a livello di progetto per accedere a cartelle o organizzazioni. Di conseguenza, le autorizzazioni specifiche per cartella e organizzazione, ad esempio resourcemanager.folders.list, sono inefficaci per i ruoli personalizzati a livello di progetto.

Quando utilizzare i ruoli personalizzati

Nella maggior parte dei casi, dovresti essere in grado di utilizzare i ruoli predefiniti anziché i ruoli personalizzati. I ruoli predefiniti sono gestiti da Google e vengono aggiornati automaticamente quando vengono aggiunti nuove autorizzazioni, funzionalità o servizi a Google Cloud. Al contrario, i ruoli personalizzati non vengono gestiti da Google; quando Google Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, i ruoli personalizzati non vengono aggiornati automaticamente.

Tuttavia, ti consigliamo di creare un ruolo personalizzato nelle seguenti situazioni:

Un'entità ha bisogno di un'autorizzazione, ma ogni ruolo predefinito che include l'autorizzazione include anche autorizzazioni di cui l'entità non ha bisogno e non dovrebbe avere.
Puoi utilizzare i consigli dei ruoli per sostituire le concessioni di ruoli eccessivamente permissivi con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere un consiglio per creare un ruolo personalizzato.

Inoltre, tieni presente i seguenti limiti:

I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, la dimensione totale massima di titolo, descrizione e nomi di autorizzazione per un ruolo personalizzato è di 64 kB.
Esistono dei limiti al numero di ruoli personalizzati che puoi creare:
- Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione
- Puoi creare fino a 300 ruoli personalizzati a livello di progetto in ogni progetto nella tua organizzazione.

Dipendenze delle autorizzazioni

Alcune autorizzazioni hanno effetto solo se concesse insieme. Ad esempio, per aggiornare un criterio di autorizzazione, è necessario leggere il criterio prima di poterlo modificare e scrivere. Di conseguenza, per aggiornare un criterio di autorizzazione, quasi sempre hai bisogno dell'autorizzazione getIamPolicy per quel servizio e tipo di risorsa, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi crearne di personalizzati in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati per attività specifiche e contengono tutte le autorizzazioni necessarie per eseguirle. La revisione di questi ruoli può aiutarti a vedere quali autorizzazioni vengono generalmente concesse insieme. Puoi quindi utilizzare queste informazioni per progettare ruoli personalizzati efficaci.

Per scoprire come creare un ruolo personalizzato basato su uno predefinito, consulta Creazione e gestione di ruoli personalizzati.

Ciclo di vita dei ruoli personalizzati

Le seguenti sezioni descrivono le considerazioni chiave in ogni fase del ciclo di vita di un ruolo personalizzato. Puoi utilizzare queste informazioni per stabilire come creare e gestire i ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiutino a identificare il ruolo:

ID ruolo: l'ID ruolo è un identificatore univoco per il ruolo. Può avere una lunghezza massima di 64 byte e può contenere caratteri alfanumerici sia maiuscoli che minuscoli, trattini bassi e punti. Non puoi riutilizzare un ID ruolo all'interno di un'organizzazione o di un progetto.

Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi crearne uno nuovo con lo stesso ID nella stessa organizzazione o nello stesso progetto fino al completamento del processo di eliminazione di 44 giorni. Per ulteriori informazioni sulla procedura di eliminazione, consulta Eliminazione di un ruolo personalizzato.
Titolo del ruolo: viene visualizzato nell'elenco dei ruoli nella console Google Cloud. Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i ruoli. Inoltre, valuta se indicare nel titolo del ruolo se è stato creato a livello di organizzazione o di progetto.

I titoli dei ruoli possono avere una lunghezza massima di 100 byte e possono contenere caratteri alfanumerici sia maiuscoli che minuscoli e simboli. Puoi modificare i titoli dei ruoli in qualsiasi momento.
Descrizione del ruolo: la descrizione del ruolo è un campo facoltativo in cui puoi fornire ulteriori informazioni su un ruolo. Ad esempio, potresti includere lo scopo previsto del ruolo, la data di creazione o modifica di un ruolo e gli eventuali ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono avere una lunghezza massima di 300 byte e contenere simboli e caratteri alfanumerici maiuscoli e minuscoli.

Inoltre, tieni presente le dipendenze delle autorizzazioni durante la creazione di ruoli personalizzati.

Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.

Avvia

I ruoli personalizzati includono una fase di lancio nei metadati del ruolo. Le fasi di avvio più comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Queste fasi di lancio sono informative e consentono di sapere se ogni ruolo è pronto per un uso diffuso. Un'altra fase di avvio comune è DISABLED. Questa fase di avvio consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio per trasmettere le seguenti informazioni sul ruolo:

EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include autorizzazioni per i servizi o le funzionalità Google Cloud non ancora pubblici. Non sono pronte per l'uso diffuso.
BETA: il ruolo è stato testato su base limitata oppure include autorizzazioni per i servizi o le funzionalità Google Cloud che non sono generalmente disponibili.
GA: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni si riferiscono ai servizi o alle funzionalità Google Cloud in disponibilità generale.
DEPRECATED: il ruolo non è più in uso.

Per scoprire come modificare la fase di avvio di un ruolo, consulta Modificare un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli quando cambiano le responsabilità degli utenti, nonché l'aggiornamento dei ruoli per consentire agli utenti di accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato su ruoli predefiniti, ti consigliamo di controllare regolarmente questi ruoli predefiniti per verificare la presenza di modifiche alle autorizzazioni. Il monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare che un ruolo predefinito è stato aggiornato con le autorizzazioni per utilizzare una nuova funzionalità di anteprima e potresti decidere di aggiungere queste autorizzazioni anche al tuo ruolo personalizzato.

Per semplificare la visualizzazione dei ruoli predefiniti da monitorare, ti consigliamo di elencare i ruoli predefiniti su cui si basa il tuo ruolo personalizzato nel campo della descrizione del ruolo personalizzato. La console Google Cloud esegue questa operazione automaticamente quando la utilizzi per creare un ruolo personalizzato basato sui ruoli predefiniti.

Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta Modifica di un ruolo personalizzato esistente.

Per determinare quali ruoli e autorizzazioni sono stati modificati di recente, consulta il log delle modifiche alle autorizzazioni.

Disabilitazione in corso…

Se non vuoi più che nessuna entità della tua organizzazione utilizzi un ruolo personalizzato, puoi disabilitare il ruolo. Per disabilitare il ruolo, modifica la fase di avvio in DISABLED.

I ruoli disabilitati vengono comunque visualizzati nei criteri IAM e possono essere concessi alle entità, ma non hanno alcun effetto.

Per informazioni su come disabilitare un ruolo personalizzato, consulta Disattivazione di un ruolo personalizzato.

Passaggi successivi

Scopri come concedere i ruoli IAM alle entità.
Scopri come scegliere i ruoli predefiniti più appropriati.
Scopri come creare ruoli personalizzati.
Utilizza lo strumento per la risoluzione dei problemi relativi ai criteri per capire perché un utente ha o non ha accesso a una risorsa o ha l'autorizzazione per chiamare un'API.