Questa pagina spiega come controllare l'accesso ai dispositivi utilizzando Identity and Access Management (IAM). L'accesso può essere concesso a livello di progetto o di registro. Non è disponibile alcun controllo dell'accesso a livello di singolo dispositivo. L'accesso è in genere concesso a una persona o a un gruppo di utenti o agli account di servizio lato server. I dispositivi utilizzano l'autenticazione con chiave pubblica/privata. Per maggiori dettagli, consulta la sezione sulla sicurezza dei dispositivi.
Ad esempio, se assegni a un utente il ruolo di cloudiot.provisioner
a un criterio IAM del registro dispositivi, l'utente potrà aggiungere o rimuovere i dispositivi, ma non potrà modificare o eliminare il registro stesso. È possibile impostare un ruolo anche su un progetto cloud; viene applicato a tutti i registri appartenenti a tale progetto cloud.
Questa sezione si concentra sulle autorizzazioni IAM pertinenti per Cloud IoT Core e sui ruoli IAM che le concedono. Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM. In particolare, consulta la sezione sulla gestione dei criteri IAM.
Ruoli
Un ruolo è un pacchetto di autorizzazioni. Ad esempio, roles/cloudiot.viewer
contiene le autorizzazioni cloudiot.registries.get
, cloudiot.registries.list
, cloudiot.devices.get
e cloudiot.devices.list
.
Assegna ruoli a utenti o gruppi per consentire loro di eseguire azioni sui registry nel tuo progetto.
La tabella seguente elenca i ruoli IAM di Cloud IoT Core, incluse le autorizzazioni associate a ciascun ruolo:
Ruolo | Descrizione | Autorizzazioni |
---|---|---|
roles/cloudiot.viewer |
Accesso in sola lettura a tutte le risorse di Cloud IoT |
|
roles/cloudiot.deviceController |
Accesso per aggiornare la configurazione dei dispositivi, ma non per creare o eliminare dispositivi | Tutte le risposte precedenti e:
|
roles/cloudiot.provisioner |
Accesso per creare ed eliminare dispositivi dai registri, ma non per modificarli | Tutte le risposte precedenti e:
|
roles/cloudiot.editor |
Accesso in lettura/scrittura a tutte le risorse di Cloud IoT | Tutte le risposte precedenti e:
|
roles/cloudiot.admin |
Controllo completo di tutte le risorse e le autorizzazioni di Cloud IoT | Tutte le risposte precedenti e:
|
Un ruolo aggiuntivo, roles/cloudiot.serviceAgent
, concede l'autorizzazione di publisher per gli argomenti Cloud Pub/Sub pertinenti.
Questo ruolo viene assegnato automaticamente a un account di servizio creato quando attivi l'API Google Cloud IoT Core in un progetto. Nella maggior parte dei casi, non sarà necessario impostare
o gestire questo ruolo. Se si verificano errori di autorizzazione relativi agli argomenti di Cloud Pub/Sub, consulta la sezione Risoluzione dei problemi.
Per ulteriori informazioni sui ruoli, vedi Informazioni sui ruoli.
Autorizzazioni
Le autorizzazioni consentono agli utenti di eseguire azioni specifiche su registry o dispositivi in Cloud IoT Core. Ad esempio, l'autorizzazione cloudiot.registries.list
consente a un utente di elencare i registri nel tuo progetto. Non devi concedere direttamente agli utenti le autorizzazioni, ma assegnarli ai ruoli, i quali dispongono di una o più autorizzazioni raggruppate al loro interno. Puoi anche creare ruoli personalizzati.
Le seguenti tabelle elencano le autorizzazioni IAM associate a Cloud IoT Core:
Nome autorizzazione del registro dei dispositivi | Descrizione |
---|---|
cloudiot.registries.create |
Crea un nuovo registro in un progetto. |
cloudiot.registries.delete |
Eliminare un registro. |
cloudiot.registries.get |
Lettura dei dettagli del Registro di sistema, esclusi gli ACL. |
cloudiot.registries.getIAMPolicy |
Lettura degli ACL del Registro di sistema. |
cloudiot.registries.list |
Elenca i registry in un progetto. |
cloudiot.registries.setIAMPolicy |
Aggiorna gli ACL del Registro di sistema. |
cloudiot.registries.update |
Aggiorna i dettagli del Registro di sistema, esclusi gli ACL. |
cloudiot.devices.sendCommand |
Invia comandi (per registro, non per dispositivo). |
Nome autorizzazione dispositivo | Descrizione |
---|---|
cloudiot.devices.create |
Aggiungi un nuovo dispositivo a un registro. |
cloudiot.devices.delete |
Eliminare un dispositivo. |
cloudiot.devices.get |
Leggere i dettagli del dispositivo, esclusi gli ACL. |
cloudiot.devices.list |
Elenca i dispositivi in un registro. |
cloudiot.devices.update |
Aggiorna i dettagli del dispositivo, esclusi gli ACL. |
cloudiot.devices.updateConfig |
Aggiorna la configurazione del dispositivo. |
cloudiot.devices.bindGateway |
Associare un dispositivo a un gateway. |
cloudiot.devices.unbindGateway |
Svincola un dispositivo da un gateway. |
Per maggiori dettagli sulle autorizzazioni IAM che consentono agli utenti di eseguire metodi su registry e dispositivi, consulta il riferimento REST specifico per ogni metodo.
Gestione IAM di Cloud IoT Core
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento gcloud. Per informazioni su come farlo a livello di progetto, consulta la pagina Concessione, modifica e revoca dell'accesso. Il resto di questa sezione contiene informazioni sulla gestione IAM a livello di registry del dispositivo.
Acquisisci una polizza
Console
Per ottenere i controlli di accesso per un registro di dispositivi:
- Vai alla pagina Registry nella console Google Cloud.
Seleziona la casella di controllo accanto al registro di dispositivi per cui vuoi impostare le autorizzazioni. Se il riquadro informazioni non è aperto, fai clic su Mostra riquadro informazioni.
Fai clic su Autorizzazioni. Si apre un riquadro Autorizzazioni contenente un elenco di utenti e le relative autorizzazioni.
gcloud
Per ricevere un criterio per un registro dispositivi, esegui il comando gcloud iot registries get-iam-policy
:
gcloud iot registries get-iam-policy REGISTRY_ID \ --region=REGION \ [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,...]]
API
Per ottenere le autorizzazioni IAM tramite l'API, utilizzare il metodo DeviceRegistry getIamPolicy
:
C#
Go
Java
Node.js
PHP
Python
Ruby
Imposta un criterio
Console
Per impostare i controlli dell'accesso a livello di registro dei dispositivi:
- Vai alla pagina Registry nella console Google Cloud.
Seleziona la casella di controllo accanto al registro di dispositivi per cui vuoi impostare le autorizzazioni. Se il riquadro informazioni non è aperto, fai clic su Mostra riquadro informazioni.
Fai clic su Autorizzazioni. Viene visualizzato un riquadro Autorizzazioni.
Inserisci uno o più utenti, seleziona un ruolo dal menu a discesa e fai clic su Aggiungi.
gcloud
Per impostare un criterio per un registro dispositivi, esegui il comando gcloud iot registries set-iam-policy
:
gcloud iot registries set-iam-policy REGISTRY_ID \ --region=REGION \ POLICY_FILE
API
Per impostare le autorizzazioni IAM tramite l'API, usa il metodo DeviceRegistry setIamPolicy
: