Prima di concedere un ruolo di Identity and Access Management (IAM) a un utente per una risorsa, può essere utile sapere quali ruoli sono disponibili per una determinata risorsa.
Prima di iniziare
Enable the IAM API.
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C++
Per utilizzare gli C++ esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
C#
Per utilizzare gli .NET esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Vai
Per utilizzare gli Go esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Java
Per utilizzare gli Java esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Python
Per utilizzare gli Python esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Ruoli obbligatori
Per ottenere l'autorizzazione necessaria per elencare i ruoli assegnabili, chiedi all'amministratore di concederti il ruolo IAM Revisore della sicurezza (
roles/iam.securityReviewer
) per la risorsa per cui vuoi elencare i ruoli assegnabili. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.Questo ruolo predefinito contiene le autorizzazioni
getIamPolicy
per tutti i tipi di risorse. Per elencare i ruoli assegnabili, devi avere l'autorizzazionegetIamPolicy
per la risorsa per cui vuoi elencare i ruoli assegnabili. Ad esempio, per elencare i ruoli assegnabili per un progetto, devi avere l'autorizzazioneresourcemanager.projects.getIamPolicy
.Potresti anche essere in grado di ottenere questa autorizzazione con i ruoli personalizzati o altri ruoli predefiniti.
Comprendere quali ruoli sono assegnabili
È possibile concedere un ruolo a partire da una risorsa se questa contiene autorizzazioni per quel tipo di risorsa. Ad esempio, il ruolo
storage.admin
concede le autorizzazioni alle APIstorage.buckets.get
estorage.objects.get
, quindi è assegnabile sui tipi di risorse Bucket Storage e Oggetti Storage.I ruoli possono anche essere concessi "sopra" i tipi di risorse per cui sono definite le relative autorizzazioni. In altre parole, i ruoli per le risorse di livello inferiore possono essere concessi a una risorsa più in alto nella gerarchia delle risorse Google Cloud. Ad esempio, il ruolo
storage.admin
può essere concesso anche a livello di progetto o di organizzazione, oltre ai bucket di archiviazione.Le autorizzazioni concesse da un ruolo interessano solo le risorse al livello specificato o inferiore; non interessano le risorse di livello superiore o peer. Inoltre, quando viene concesso un ruolo per una risorsa, vengono concesse solo le autorizzazioni applicabili alla risorsa specificata, indipendentemente dal nome, dalla descrizione o da altre autorizzazioni del ruolo che contiene. Ad esempio, l'assegnazione del ruolo
resourcemanager.organizationAdmin
(che concede l'autorizzazioneresourcemanager.projects.list
) a un utente a livello di progetto le concede solo le autorizzazioni per quel progetto specifico. Non consente loro di elencare o amministrare tutti i progetti dell'organizzazione. Allo stesso modo, l'assegnazione del ruolocompute.admin
a una specifica istanza di Compute Engine concede le autorizzazioni solo per quell'istanza, non per altre nel progetto.Elenco dei ruoli assegnabili
Puoi elencare i ruoli assegnabili utilizzando la console Google Cloud, Google Cloud CLI, l'API IAM o le librerie client IAM.
La console Google Cloud elenca sempre tutti i ruoli assegnabili per la risorsa che stai visualizzando. L'interfaccia a riga di comando di Google Cloud, l'API IAM e le librerie client elencano solo i ruoli assegnabili per le API abilitate.
Console
Per visualizzare i ruoli assegnabili per un progetto, una cartella o un'organizzazione:
Nella console Google Cloud, vai alla pagina IAM.
Fai clic su Seleziona un progetto nella parte superiore della pagina.
Seleziona il progetto, la cartella o l'organizzazione per cui vuoi visualizzare i ruoli assegnabili.
Fai clic su
Concedi l'accesso.Fai clic su Seleziona un ruolo. Questo menu visualizza tutti i ruoli, inclusi quelli personalizzati, che puoi concedere per questa risorsa.
Per visualizzare i ruoli assegnabili per altri tipi di risorse:
Nella console Google Cloud, vai alla pagina che elenca la risorsa per cui vuoi visualizzare i ruoli assegnabili.
Ad esempio, per gestire l'accesso a un'istanza Compute Engine, vai alla pagina Istanze VM.
Seleziona la casella di controllo accanto alla risorsa per la quale vuoi visualizzare i ruoli assegnabili.
Assicurati che il riquadro delle informazioni sia visibile. Se non è visibile, fai clic su Mostra riquadro informazioni.
Fai clic su
Aggiungi entità.Fai clic su Seleziona un ruolo. Questo menu visualizza tutti i ruoli, inclusi gli eventuali ruoli personalizzati, che puoi concedere per questa risorsa.
gcloud
Utilizza il comando
gcloud iam list-grantable-roles
per restituire un elenco di tutti i ruoli che possono essere applicati a una determinata risorsa.gcloud iam list-grantable-roles full-resource-name
A seconda della risorsa desiderata, è possibile che venga restituito un numero elevato di ruoli. Per limitare i risultati, puoi specificare un'espressione di filtro.
L'output sarà simile al seguente:
description: Full control of all Compute Engine resources. name: roles/compute.admin title: Compute Admin --- description: Full control of Compute Engine instance resources. name: roles/compute.instanceAdmin title: Compute Instance Admin # Additional results here...
C++
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM C++.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
C#
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM C#.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
Go
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, vedi librerie client IAM. Per maggiori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per eseguire l'autenticazione in IAM, configura Credenziali predefinite dell'applicazione. Per saperne di più, consulta Prima di iniziare.
REST
Il metodo
roles.queryGrantableRoles
restituisce un elenco di tutti i ruoli assegnabili su una risorsa.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
FULL_RESOURCE_NAME
: un URI composto dal nome del servizio e dal percorso della risorsa. Ad esempio, consulta la sezione Nomi completi delle risorse.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/roles:queryGrantableRoles
Corpo JSON della richiesta:
{ "fullResourceName": "FULL_RESOURCE_NAME" }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "roles": [ { "name": "roles/compute.admin", "title": "Compute Admin", "description": "Full control of all Compute Engine resources." }, { "name": "roles/compute.instanceAdmin", "title": "Compute Instance Admin (beta)", "description": "Full control of Compute Engine instance resources." } ] }
Negli esempi precedenti, il nome completo della risorsa è un URI senza schema costituito da un nome di servizio API compatibile con il DNS e da un percorso della risorsa.
Ad esempio, per restituire tutti i ruoli assegnabili su un progetto, utilizza:
//cloudresourcemanager.googleapis.com/projects/project-id
Le risorse di livello inferiore hanno un nome completo più dettagliato. Ad esempio, utilizza la query seguente per restituire tutti i ruoli assegnabili in un'istanza di Compute Engine:
//compute.googleapis.com/projects/project-id/zones/zone-name/instances/instance-id
Passaggi successivi
- Ulteriori informazioni sui ruoli IAM disponibili.
- Scopri come scegliere i ruoli predefiniti più appropriati.
- Scopri come concedere, modificare e revocare l'accesso di un'entità.
- Vedi esempi di nomi di risorse per i diversi tipi di risorse.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-09-09 UTC.
[{ "type": "thumb-down", "id": "hardToUnderstand", "label":"Hard to understand" },{ "type": "thumb-down", "id": "incorrectInformationOrSampleCode", "label":"Incorrect information or sample code" },{ "type": "thumb-down", "id": "missingTheInformationSamplesINeed", "label":"Missing the information/samples I need" },{ "type": "thumb-down", "id": "translationIssue", "label":"Problema di traduzione" },{ "type": "thumb-down", "id": "otherDown", "label":"Altra" }] [{ "type": "thumb-up", "id": "easyToUnderstand", "label":"Facile da capire" },{ "type": "thumb-up", "id": "solvedMyProblem", "label":"Il problema è stato risolto" },{ "type": "thumb-up", "id": "otherUp", "label":"Altra" }]