Questa pagina è stata tradotta dall'API Cloud Translation.

Controllo dell'accesso con IAM

Questa pagina descrive i ruoli e le autorizzazioni di Infrastructure Manager.

Infra Manager utilizza Identity and Access Management (IAM) per controllare l'accesso al servizio. Per concedere l'accesso per il dispiegamento delle risorse con Infra Manager, assegna i necessari ruoli IAM Infra Manager all'account di servizio che utilizzi per chiamare Infra Manager. Per informazioni dettagliate su come concedere le autorizzazioni agli account di servizio, consulta Gestire l'accesso agli account di servizio.

Non è necessario un account di servizio per visualizzare i deployment, le revisioni e i criteri IAM di Infra Manager. Per visualizzare Infra Manager, concedi l'accesso all'utente, al gruppo o all'account di servizio.

Per eseguire il deployment o visualizzare le risorse Google Cloud definite nella configurazione Terraform, devi concedere le autorizzazioni del account di servizio specifiche per queste risorse. Queste autorizzazioni si aggiungono alle autorizzazioni di Infra Manager elencate in questa pagina. Per un elenco di tutti i ruoli e le autorizzazioni che contengono, consulta il riferimento ai ruoli di base e predefiniti di Identity and Access Management.

Ruoli di gestore dell'infrastruttura predefiniti

IAM fornisce ruoli predefiniti che concedono accesso a risorse specifiche Google Cloud e impediscono l'accesso non autorizzato ad altre risorse.

La tabella seguente elenca i ruoli IAM di Infra Manager e le autorizzazioni che includono:

Ruolo	Descrizione	Autorizzazioni
Infra Manager Admin (`roles/config.admin`)	Per un utente, controllo completo delle risorse di Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.deployments.setIamPolicy` `config.deployments.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`
Infra Manager Service Agent (`roles/config.agent`)	Fornisci l'accesso a un account di servizio per lavorare con Infra Manager, inclusi i deployment, le revisioni, il logging e i file di stato di Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list`
Account di servizio Infra Manager (`roles/cloudconfig.serviceAgent`)	Quando attivi l'API Infra Manager, l'account di servizio Infra Manager viene creato automaticamente nel progetto e a questo ruolo vengono concesse le risorse del progetto. L'account di servizio Infra Manager utilizza questo ruolo solo se necessario per eseguire azioni durante la creazione, la gestione o l'eliminazione di deployment e revisioni.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Visualizzatore di Infra Manager (`roles/config.viewer`)	Leggere i deployment, le revisioni e i criteri IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`

Oltre ai ruoli predefiniti di Infra Manager, i ruoli di Visualizzatore e Proprietario di base includono anche le autorizzazioni relative a Infra Manager. Tuttavia, ti consigliamo di assegnare ruoli predefiniti, se possibile, per rispettare il principio di sicurezza del privilegio minimo.

La tabella seguente elenca i ruoli di base e i ruoli IAM di Infra Manager inclusi.

Ruolo	Include il ruolo
Visualizzatore	`roles/config.viewer`
Proprietario	`roles/config.admin`

Autorizzazioni

Le autorizzazioni che chi effettua la chiamata deve disporre per chiamare ciascun metodo sono elencate nel riferimento API REST.

Passaggi successivi

Scopri di più su IAM.
Scopri di più sull'utilizzo delle condizioni in IAM
Scopri di più sugli account di servizio Infra Manager.