Informazioni sui ruoli IAM personalizzati

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Identity and Access Management (IAM) fornisce ruoli predefiniti che offrono un accesso granulare a determinate risorse Google Cloud e aiutano a impedire l'accesso indesiderato ad altre risorse.

IAM consente anche di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, poiché aiutano a garantire che le entità della tua organizzazione dispongano solo delle autorizzazioni necessarie.

Ti consigliamo di creare un ruolo personalizzato nelle seguenti situazioni:

  • Un'entità richiede un'autorizzazione, ma ogni ruolo predefinito che include questa autorizzazione include anche autorizzazioni di cui non ha bisogno e che non devono avere.
  • Puoi utilizzare i consigli sui ruoli per sostituire le concessioni di ruoli eccessivamente permissive con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere un consiglio di creare un ruolo personalizzato.

Alcune autorizzazioni IAM non sono supportate nei ruoli personalizzati. Per verificare se un'autorizzazione specifica è supportata, consulta la pagina Livello di assistenza per le autorizzazioni nei ruoli personalizzati.

Prima di iniziare

Concetti di base

In IAM non concedi direttamente le autorizzazioni. Concedi invece ruoli che contengono una o più autorizzazioni. In IAM esistono diversi tipi di ruoli: ruoli di base, ruoli predefiniti e ruoli personalizzati.

I ruoli di base includono tre ruoli esistenti prima dell'introduzione di IAM: Proprietario, Editor e Visualizzatore.

I ruoli predefiniti vengono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni in base alle esigenze, ad esempio quando Google Cloud aggiunge nuove funzionalità o servizi.

I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. I ruoli personalizzati non vengono gestiti da Google; quando si aggiungono nuove autorizzazioni, funzionalità o servizi in Google Cloud, i tuoi ruoli personalizzati non verranno aggiornati automaticamente.

Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi concedere il ruolo personalizzato all'organizzazione o al progetto, nonché a eventuali risorse all'interno dell'organizzazione o del progetto.

Puoi creare un ruolo personalizzato combinando una o più delle autorizzazioni IAM disponibili. Le autorizzazioni consentono agli utenti di eseguire azioni specifiche sulle risorse Google Cloud. Nel mondo IAM, le autorizzazioni sono rappresentate nel formato:

service.resource.verb

Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di sua proprietà e compute.instances.stop consente a un utente di arrestare una VM. Quando aggiungi un'autorizzazione a un ruolo personalizzato, devi specificare esplicitamente il servizio, la risorsa e il verbo: non puoi utilizzare i caratteri jolly (*).

In genere le autorizzazioni, ma non sempre, corrispondono 1:1 con i metodi REST. In altri termini, ogni servizio Google Cloud ha un'autorizzazione associata per ciascun metodo REST che ha. Per chiamare un metodo, il chiamante ha bisogno di quell'autorizzazione. Ad esempio, il chiamante di topic.publish() ha bisogno dell'autorizzazione pubsub.topics.publish.

Quando crei un ruolo personalizzato a livello di progetto, questo non può contenere autorizzazioni disponibili solo a livello di cartella o organizzazione. Ad esempio, non puoi utilizzare l'autorizzazione resourcemanager.organizations.get in un ruolo personalizzato a livello di progetto perché un progetto non può contenere altri progetti. Di conseguenza, l'autorizzazione è utile solo a livello di cartella o organizzazione.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui lo hai creato. Non puoi concedere ruoli personalizzati su altri progetti o organizzazioni o in risorse all'interno di altri progetti o organizzazioni.

Autorizzazioni e ruoli richiesti

Per creare un ruolo personalizzato, il chiamante deve disporre dell'autorizzazione iam.roles.create.

Agli utenti che non sono proprietari, inclusi gli amministratori dell'organizzazione, deve essere assegnato il ruolo Amministratore ruolo organizzazione (roles/iam.organizationRoleAdmin) o il ruolo Amministratore ruoli IAM (roles/iam.roleAdmin). Il ruolo Revisore sicurezza IAM (roles/iam.securityReviewer) consente di visualizzare i ruoli personalizzati, ma non di amministrarli. Per informazioni su come concedere questi ruoli, consulta Concedere, modificare e revocare l'accesso.

L'interfaccia utente dei ruoli personalizzati si trova nella sezione Google Roles di Google Cloud Console. È disponibile solo per gli utenti con autorizzazioni per creare o gestire i ruoli personalizzati. Per impostazione predefinita, solo i proprietari del progetto possono creare nuovi ruoli. I proprietari del progetto possono controllare l'accesso a questa funzionalità concedendo il ruolo Amministratore ruolo IAM ad altri nello stesso progetto. Per le organizzazioni, solo gli amministratori dell'organizzazione possono concedere il ruolo Amministratore organizzazione.

I ruoli amministrativi sono descritti più dettagliatamente di seguito.

Ruolo Amministratore organizzazione

Se hai un'organizzazione associata al tuo account Google Cloud, il ruolo Amministratore ruolo organizzazione ti consente di amministrare tutti i ruoli personalizzati all'interno dell'organizzazione. Questo ruolo può essere concesso solo a livello di organizzazione. Solo gli amministratori dell'organizzazione possono concedere il ruolo di amministratore dell'organizzazione.

Nella tabella seguente sono elencate le autorizzazioni associate al ruolo Amministratore organizzazione:

Ruolo Autorizzazioni
roles/iam.organizationRoleAdmin iam.roles.create
iam.roles.delete
iam.roles.undelete
iam.roles.get
iam.roles.list
iam.roles.update
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.organizations.get
resourcemanager.organizations.get

Ruolo Amministratore del ruolo

Il ruolo Amministratore ruoli consente di amministrare tutti i ruoli personalizzati per un progetto. Utilizza questo ruolo se non hai un'organizzazione. Questo ruolo può essere concesso solo a livello di progetto dai proprietari del progetto o dell'organizzazione.

Nella tabella seguente sono elencate le autorizzazioni associate al ruolo Amministratore ruoli:

Ruolo Autorizzazioni
roles/iam.roleAdmin iam.roles.create
iam.roles.delete
iam.roles.undelete
iam.roles.get
iam.roles.list
iam.roles.update
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy

Ciclo di vita dei ruoli personalizzati

Esistono alcuni concetti che si applicano quando si decide come modellare, creare e gestire i ruoli personalizzati.

Creazione in corso...

Prima di decidere di creare un ruolo personalizzato, controlla se il servizio ha un ruolo predefinito (o una combinazione di più ruoli predefiniti) che soddisfa le tue esigenze. Per un elenco completo dei ruoli predefiniti, nonché delle autorizzazioni incluse in ogni ruolo predefinito, consulta il riferimento sui ruoli predefiniti.

Se non esiste un ruolo predefinito, o una combinazione di ruoli predefiniti, che soddisfi le tue esigenze, puoi creare un ruolo personalizzato che includa solo le autorizzazioni che devi concedere. Per maggiori dettagli, consulta Creazione e gestione dei ruoli personalizzati.

Autorizzazioni non supportate o non disponibili

Nei ruoli personalizzati puoi includere molte autorizzazioni IAM, ma non tutte. Ogni autorizzazione dispone di uno dei seguenti livelli di assistenza da utilizzare nei ruoli personalizzati:

Livello di supporto Descrizione
SUPPORTED L'autorizzazione è completamente supportata nei ruoli personalizzati.
TESTING Google sta testando l'autorizzazione per verificare la compatibilità con i ruoli personalizzati. Puoi includere l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. Opzione sconsigliata per l'uso in produzione.
NOT_SUPPORTED L'autorizzazione non è supportata nei ruoli personalizzati.

Alcune autorizzazioni potrebbero non essere visibili o utilizzabili in un ruolo personalizzato, anche se sono supportate nei ruoli personalizzati. Ad esempio, se non hai attivato l'API per il servizio, un'autorizzazione potrebbe non essere disponibile nei ruoli personalizzati. Inoltre, se stai creando un ruolo personalizzato a livello di progetto, non puoi utilizzare le autorizzazioni a livello di progetto nel ruolo.

Per verificare se puoi utilizzare un'autorizzazione specifica nei ruoli personalizzati, consulta Livello di assistenza per le autorizzazioni nei ruoli personalizzati. Per verificare quali autorizzazioni puoi utilizzare con una risorsa specifica, consulta la pagina Visualizzare le autorizzazioni disponibili per una risorsa.

Dipendenze autorizzazione

Alcune autorizzazioni sono valide soltanto se concesse in coppia. Ad esempio, per aggiornare un criterio di autorizzazione, devi utilizzare il pattern read-modify-write. Di conseguenza, per aggiornare un criterio di autorizzazione, hai quasi sempre bisogno dell'autorizzazione getIamPolicy per il servizio e il tipo di risorsa aggiuntivi, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi creare ruoli personalizzati basati su ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti possono aiutarti a vedere quali autorizzazioni vengono generalmente utilizzate in combinazione.

Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione dei ruoli personalizzati.

Assegna un nome al ruolo

I ruoli hanno sia un ID sia un titolo. L'ID ruolo è un identificatore univoco del ruolo. Il titolo del ruolo viene visualizzato nell'elenco dei ruoli in Google Cloud Console.

Gli ID ruolo devono essere univoci all'interno del progetto o dell'organizzazione in cui hai creato il ruolo. Ciò garantisce che l'ID completo del ruolo, che include il progetto o l'organizzazione, sia univoco. Gli ID ruolo possono contenere fino a 64 caratteri e possono contenere caratteri alfanumerici maiuscoli e minuscoli, trattini bassi e punti.

Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi crearne uno nuovo con lo stesso ID completo fino al completamento del processo di eliminazione di 44 giorni. Per ulteriori informazioni sulla procedura di eliminazione, consulta Eliminazione di un ruolo personalizzato.

Il titolo di un ruolo personalizzato non deve essere univoco. Pertanto, Google Cloud Console potrebbe visualizzare più di un ruolo personalizzato con lo stesso titolo. Per evitare confusione, utilizza titoli univoci e descrittivi per i ruoli personalizzati. Valuta anche la possibilità di indicare nel titolo del ruolo se è un ruolo a livello di organizzazione o di progetto.

I titoli dei ruoli possono contenere fino a 100 byte e possono contenere caratteri alfanumerici maiuscoli e minuscoli e simboli. Puoi modificare i titoli dei ruoli in qualsiasi momento.

Descrizione ruolo

Valuta la possibilità di aggiornare la descrizione del ruolo dopo aver modificato un ruolo personalizzato e di includere sia la data di modifica che un riepilogo dello scopo previsto del ruolo. Le descrizioni possono contenere fino a 256 caratteri e possono contenere caratteri alfanumerici maiuscoli e minuscoli e simboli.

Test e deployment

I ruoli personalizzati includono una fase di lancio, che viene memorizzata nella proprietà stage per il ruolo. Le fasi di lancio più comuni per i ruoli personalizzati attivi sono ALPHA, BETA e GA. Queste fasi di lancio sono informative e ti consentono di tenere traccia di ogni ruolo pronto per un uso ampio. La fase di lancio più comune è DISABLED. Questa fase di lancio ti consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio ALPHA, BETA e GA per comunicare le seguenti informazioni sul ruolo:

  • ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include le autorizzazioni per servizi o funzionalità Google Cloud non ancora pubblici. Non è pronto per un uso generico.
  • BETA: il ruolo è stato testato su base limitata oppure include le autorizzazioni per i servizi o le funzionalità di Google Cloud che non sono disponibili pubblicamente.
  • GA: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni sono relative a servizi o funzionalità di Google Cloud generalmente disponibili.

Per un elenco completo delle possibili fasi di lancio, consulta il riferimento del ruolo.

Per informazioni su come modificare la fase di lancio di un ruolo, consulta Modifica di un ruolo personalizzato esistente.

Manutenzione

Le funzioni lavorative e le funzionalità dei prodotti sono in continua evoluzione. Mantenere aggiornati i ruoli personalizzati e seguire il principio del privilegio minimo richiede interventi di manutenzione.

Ad esempio, quando un servizio rilasciato ottiene nuove funzionalità beta, questi metodi API diventano disponibili pubblicamente e le autorizzazioni vengono aggiunte automaticamente ai ruoli di base e predefiniti corrispondenti. I ruoli personalizzati del servizio non ereditano queste nuove autorizzazioni, quindi gli utenti assegnati a tali ruoli potrebbero segnalare che non possono accedere alle nuove funzionalità beta. A quel punto, puoi scegliere di aggiungerli o creare un ruolo personalizzato distinto per concedere solo a determinati utenti l'accesso a tali funzionalità beta.

Sebbene Google possa aggiornare un ruolo predefinito esistente aggiungendo (o rimuovendo) autorizzazioni, non modifichiamo i ruoli personalizzati in base a tali ruoli. I ruoli personalizzati sono elenchi fissi di autorizzazioni; un ruolo personalizzato non ha alcun collegamento ai ruoli predefiniti su cui può essere basato.

Se il tuo ruolo personalizzato si basa su uno dei ruoli predefiniti, ti consigliamo di elencare questi ruoli nel campo della descrizione del ruolo personalizzato. In questo modo, è più semplice per te controllare se devi aggiornare il tuo ruolo personalizzato in base alle modifiche a un ruolo predefinito. Google Cloud Console inserisce automaticamente tali informazioni nella descrizione quando crea un nuovo ruolo personalizzato.

Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta Modificare un ruolo personalizzato esistente.

Consulta il log delle modifiche alle autorizzazioni per determinare quali ruoli e autorizzazioni sono stati modificati di recente.

Disabilita ruoli personalizzati

Se non vuoi più che un utente della tua organizzazione utilizzi un ruolo personalizzato, puoi disattivarlo. Per disattivare il ruolo, imposta la fase di lancio su DISABLED.

Quando un ruolo è disattivato, tutte le associazioni di ruoli che concedono il ruolo vengono disattivate, il che significa che la concessione del ruolo a un utente non ha alcun effetto.

Per informazioni su come disattivare un ruolo personalizzato, consulta la sezione Disattivare un ruolo personalizzato.

Limitazioni note

  • Alcuni ruoli predefiniti contengono autorizzazioni non consentite nei ruoli personalizzati. Per verificare se puoi utilizzare un'autorizzazione specifica in un ruolo personalizzato, consulta il livello di assistenza per le autorizzazioni nei ruoli personalizzati.
  • I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, le dimensioni totali massime di titolo, descrizione e nomi autorizzazioni per un ruolo personalizzato sono di 64 kB.
  • L'autorizzazione resourcemanager.projects.list è supportata solo per i ruoli personalizzati a livello di organizzazione: non è consentita nei ruoli personalizzati a livello di progetto. Quando copi un ruolo predefinito che include l'autorizzazione resourcemanager.projects.list in un nuovo ruolo personalizzato a livello di progetto, verrà visualizzato uno dei seguenti messaggi:
    • Google Cloud Console: viene visualizzato il seguente messaggio di avviso: "Non applicabile ai ruoli personalizzati a livello di progetto". L'autorizzazione resourcemanager.projects.list verrà deselezionata automaticamente dall'elenco delle autorizzazioni incluse e puoi procedere con la creazione del ruolo.
    • gcloud CLI Google Cloud CLI: viene restituito il seguente messaggio di errore: INVALID_ARGUMENT: Permission resourcemanager.projects.list is not valid. Il ruolo personalizzato verrà creato solo dopo aver rimosso l'autorizzazione resourcemanager.projects.list dalla definizione del ruolo e riprovare l'operazione.
    • API di Google Cloud: viene restituito il seguente messaggio di errore: Permission resourcemanager.projects.list is not valid, insieme a un codice di errore HTTP 400 e allo stato di INVALID_ARGUMENT. Il ruolo personalizzato non verrà creato finché non rimuovi l'autorizzazione resourcemanager.projects.list dalla definizione del ruolo e prova a ripetere l'operazione.

Passaggi successivi