In questa pagina viene spiegato come controllare l'accesso ai dispositivi utilizzando Identity and Access Management (IAM). L'accesso può essere concesso a livello di progetto o di registro. Non è previsto alcun controllo dell'accesso a livello di singolo dispositivo. L'accesso viene generalmente concesso a una persona o a un gruppo di utenti oppure agli account di servizio lato server. I dispositivi utilizzano l'autenticazione tramite chiave pubblica/privata. Per maggiori dettagli, consulta la sezione relativa alla sicurezza dei dispositivi.
Ad esempio, se assegni a un utente il ruolo di cloudiot.provisioner
a un criterio IAM del registro dispositivi, questo potrà aggiungere o rimuovere dispositivi, ma non potrà modificarlo o eliminarlo. È anche possibile impostare un ruolo in un progetto cloud e quindi in tutti i registri appartenenti a tale progetto.
Questa sezione si concentra sulle autorizzazioni IAM pertinenti per Cloud IoT Core e sui ruoli IAM che le autorizzano. Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM. In particolare, consulta la sezione sulla gestione dei criteri IAM.
Ruoli
Un ruolo è un pacchetto di autorizzazioni. Ad esempio, roles/cloudiot.viewer
contiene le autorizzazioni cloudiot.registries.get
, cloudiot.registries.list
, cloudiot.devices.get
e cloudiot.devices.list
.
Assegna ruoli a utenti o gruppi per consentire loro di eseguire azioni sui registry nel tuo progetto.
La tabella seguente elenca i ruoli IAM principali di Cloud IoT, incluse le autorizzazioni associate a ciascun ruolo:
Ruolo | Descrizione | Autorizzazioni |
---|---|---|
roles/cloudiot.viewer |
Accesso in sola lettura a tutte le risorse Cloud IoT |
|
roles/cloudiot.deviceController |
Accesso per aggiornare la configurazione dei dispositivi, ma non per creare o eliminare dispositivi | Tutte le risposte precedenti e:
|
roles/cloudiot.provisioner |
Accesso per creare ed eliminare dispositivi dai registri, ma non per modificare i registri | Tutte le risposte precedenti e:
|
roles/cloudiot.editor |
Accesso in lettura/scrittura a tutte le risorse Cloud IoT | Tutte le risposte precedenti e:
|
roles/cloudiot.admin |
Controllo completo di tutte le risorse e le autorizzazioni di Cloud IoT | Tutte le risposte precedenti e:
|
Un ruolo aggiuntivo, roles/cloudiot.serviceAgent
, concede all'editore l'autorizzazione per gli argomenti Cloud Pub/Sub pertinenti.
Questo ruolo viene assegnato automaticamente a un account di servizio che viene creato quando abiliti l'API Google Cloud IoT Core in un progetto. Nella maggior parte dei casi, non dovrai impostare o gestire questo ruolo. Se si verificano errori di autorizzazione relativi ad argomenti Cloud Pub/Sub, consulta la sezione Risoluzione dei problemi.
Per saperne di più sui ruoli, vedi Informazioni sui ruoli.
Autorizzazioni
Le autorizzazioni consentono agli utenti di eseguire azioni specifiche su registry o dispositivi in Cloud IoT Core. Ad esempio, l'autorizzazione cloudiot.registries.list
consente a un utente di elencare i registri nel tuo progetto. Non concedi direttamente agli utenti le autorizzazioni, ma assegna loro dei ruoli, che includono una o più autorizzazioni al loro interno. Puoi anche creare ruoli personalizzati.
Le tabelle seguenti elencano le autorizzazioni IAM associate a Cloud IoT Core:
Nome autorizzazione registro dispositivi | Descrizione |
---|---|
cloudiot.registries.create |
Creare un nuovo registro in un progetto. |
cloudiot.registries.delete |
Eliminare un registro. |
cloudiot.registries.get |
Lettura dei dettagli del Registro di sistema, esclusi gli ACL. |
cloudiot.registries.getIAMPolicy |
Lettura degli ACL del registro. |
cloudiot.registries.list |
Elencare i registry in un progetto. |
cloudiot.registries.setIAMPolicy |
Aggiornare gli ACL del registro. |
cloudiot.registries.update |
Aggiorna i dettagli del Registro di sistema, esclusi gli ACL. |
cloudiot.devices.sendCommand |
Invia comandi (per registro, non per dispositivo). |
Nome autorizzazione dispositivo | Descrizione |
---|---|
cloudiot.devices.create |
Aggiungere un nuovo dispositivo a un registro. |
cloudiot.devices.delete |
Eliminare un dispositivo. |
cloudiot.devices.get |
Lettura dei dettagli dei dispositivi, esclusi gli ACL. |
cloudiot.devices.list |
Elenca i dispositivi in un registro. |
cloudiot.devices.update |
Aggiorna i dettagli del dispositivo, esclusi gli ACL. |
cloudiot.devices.updateConfig |
Aggiorna la configurazione del dispositivo. |
cloudiot.devices.bindGateway |
Collega un dispositivo a un gateway. |
cloudiot.devices.unbindGateway |
Svincola un dispositivo da un gateway. |
Per maggiori dettagli sulle autorizzazioni IAM che consentono agli utenti di eseguire metodi su registry e dispositivi, consulta il riferimento REST specifico di ogni metodo.
Gestione di Cloud IoT Core IAM
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento gcloud. Per informazioni su come procedere a livello di progetto, consulta l'articolo Concedere, modificare e revocare l'accesso. Il resto di questa sezione contiene informazioni sulla gestione di IAM a livello di registro dei dispositivi.
Acquisisci una polizza
Console
Per ottenere i controlli dell'accesso per un registro dei dispositivi:
- Vai alla pagina Registry nella console Google Cloud.
Seleziona la casella di controllo accanto al registro dispositivi per cui vuoi impostare le autorizzazioni. Se il riquadro informazioni non è aperto, fai clic su Mostra riquadro informazioni.
Fai clic su Autorizzazioni. Viene visualizzato un riquadro Autorizzazioni contenente un elenco di utenti e le relative autorizzazioni.
gcloud
Per ottenere un criterio per un registro dei dispositivi, esegui il comando gcloud iot registries get-iam-policy
:
gcloud iot registries get-iam-policy REGISTRY_ID \ --region=REGION \ [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,...]]
API
Per ottenere le autorizzazioni IAM tramite l'API, utilizza il metodo getIamPolicy
DeviceRegistry:
C#
Go
Java
Node.js
PHP
Python
Ruby
Imposta un criterio
Console
Per impostare i controlli dell'accesso a livello di registro dei dispositivi:
- Vai alla pagina Registry nella console Google Cloud.
Seleziona la casella di controllo accanto al registro dispositivi per cui vuoi impostare le autorizzazioni. Se il riquadro informazioni non è aperto, fai clic su Mostra riquadro informazioni.
Fai clic su Autorizzazioni. Viene visualizzato un riquadro Autorizzazioni.
Inserisci uno o più utenti, seleziona un ruolo dal menu a discesa e fai clic su Aggiungi.
gcloud
Per impostare un criterio per un registro dei dispositivi, esegui il comando gcloud iot registries set-iam-policy
:
gcloud iot registries set-iam-policy REGISTRY_ID \ --region=REGION \ POLICY_FILE
API
Per impostare le autorizzazioni IAM tramite l'API, usa il metodo setIamPolicy
DeviceRegistry: