Le condizioni IAM (Identity and Access Management) consentono di definire criteri IAM con concessioni condizionali. Puoi specificare le condizioni nelle associazioni di ruoli del criterio IAM di una risorsa. Se
una condizione esiste, il ruolo viene concesso solo quando l'espressione della condizione
restituisce true
. Ogni espressione di condizione è un insieme di istruzioni
logiche, che ti consente di specificare uno o più attributi. Per ulteriori informazioni, consulta Riferimento agli attributi per le condizioni IAM.
Se utilizzate con Cloud Load Balancing, le condizioni IAM consentono di concedere in modo condizionale i ruoli predefiniti, ad esempio Amministratore bilanciatore del carico o Amministratore rete, o ruoli personalizzati.
Le condizioni IAM supportano un'espressione di condizione per controllare lo schema di bilanciamento del carico di una regola di forwarding. Ad esempio, puoi concedere in modo condizionale a un'entità IAM la possibilità di creare bilanciatori del carico interni, ma non esterni. Se quell'entità IAM tenta di creare una regola di forwarding per un bilanciatore del carico esterno, Google Cloud nega l'azione e restituisce un errore come il seguente:
ERROR: (gcloud.compute.forwarding-rules.create) Could not fetch resource: - Required 'compute.forwardingRules.create' permission for 'projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME'
Utilizzo delle condizioni IAM sui bilanciatori del carico Google Cloud
Lo schema di bilanciamento del carico di una regola di forwarding determina il tipo o i tipi di bilanciatore del carico che possono utilizzare la regola di forwarding. In altre parole, lo schema di bilanciamento del carico corrisponde al tipo di bilanciatore del carico, come mostrato nella tabella seguente.
Schema di bilanciamento del carico | Descrizione |
---|---|
EXTERNAL | Bilanciatore del carico delle applicazioni classico Bilanciatore del carico di rete proxy classico Bilanciatore del carico di rete passthrough esterno |
EXTERNAL_MANAGED | Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete proxy esterno globale Bilanciatore del carico di rete proxy esterno regionale |
INTERNAL | Bilanciatore del carico di rete passthrough interno |
INTERNAL_MANAGED | Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico delle applicazioni interno tra regioni Bilanciatore del carico di rete proxy interno regionale Bilanciatore del carico di rete proxy interno tra regioni |
INTERNAL_SELF_MANAGED | Cloud Service Mesh |
Puoi specificare il campo loadBalancingScheme
quando crei il bilanciatore del carico.
Se selezioni il campo loadBalancingScheme
in una condizione IAM,
puoi concedere alle entità la possibilità di creare determinati tipi di bilanciatori del carico.
Specifica delle condizioni IAM
Puoi impostare associazioni di ruoli condizionali utilizzando lo stesso metodo setIamPolicy
che utilizzi per configurare qualsiasi altra associazione di ruoli. Per impostare un'associazione dei ruoli con una condizione su un progetto, puoi utilizzare l'API REST, lo strumento a riga di comando gcloud
o la pagina IAM della console Google Cloud.
Per saperne di più, consulta Gestione dei criteri condizionali.
Esempi di espressioni delle condizioni per il bilanciamento del carico
La seguente espressione di condizione, che può essere utilizzata in un criterio IAM, consente una richiesta API solo se una delle seguenti condizioni è vera:
- La richiesta non prevede la creazione di una regola di forwarding.
La richiesta consiste nella creazione di una regola di forwarding con uno degli schemi interni.
!compute.isForwardingRuleCreationOperation() || ( compute.isForwardingRuleCreationOperation() && compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED']) )
Lo schema di bilanciamento del carico EXTERNAL
è omesso.
Se un'entità tenta di creare una regola di forwarding con lo schema di bilanciamento del carico EXTERNAL
, viene visualizzato un messaggio di errore relativo alle autorizzazioni.
Norma di esempio
Questo criterio IAM di esempio per un progetto concede all'entità IAM jane@example.com
il ruolo predefinito Amministratore bilanciatore del carico, esclusa la possibilità di creare bilanciatori del carico esterni (perché lo schema di bilanciamento del carico EXTERNAL
è omesso). jane@example.com
può creare bilanciatori del carico interni e può gestire, modificare ed eliminare qualsiasi
bilanciatore del carico.
{
"bindings": [
{
"role": "roles/compute.loadBalancerAdmin",
"members": ["user:jane@example.com"],
"condition": {
"title": "only_internal_lb_schemes",
"description": "Internal LB creation only permitted",
"expression": "
!compute.isForwardingRuleCreationOperation() || (
compute.isForwardingRuleCreationOperation() &&
compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'])
)
"
}
}
]
}
Concessione di autorizzazioni all'account di servizio GKE per tipi specifici di regole di forwarding
Puoi utilizzare le condizioni IAM anche per limitare l'accesso all'account di servizio GKE e creare solo tipi specifici di regole di forwarding.
Questo esempio JSON mostra un criterio IAM completo per concedere all'account di servizio GKE (service-PROJECT_ID@container-engine-robot.iam.gserviceaccount.com
) il ruolo di Agente di servizio Kubernetes Engine. Questo ruolo consente all'account di servizio di creare, modificare ed eliminare i componenti del bilanciatore del carico, ad eccezione delle regole di forwarding esterni.
Utilizzando questa concessione condizionale, l'account di servizio GKE può creare solo nuove regole di forwarding interno, ma può gestire tutte le regole di forwarding esistenti.
{ "bindings": [ { "role": "roles/container.serviceAgent", "members": ["serviceAccount:service-PROJECT_ID@container-engine-robot.iam.gserviceaccount.com"], "condition": { "title": "only_internal_lb_schemes", "description": "Internal LB Creation Only Permitted", "expression": "( compute.isForwardingRuleCreationOperation() && compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED']) ) || !compute.isForwardingRuleCreationOperation() " } } ] }
In assenza di altre concessioni, il tentativo di creare un nuovo servizio GKE di tipo LoadBalancer senza l'annotazione per un bilanciatore del carico di rete passthrough interno genera un messaggio di errore simile al seguente:
Error creating load balancer (will retry): failed to ensure load balancer for service default/SERVICE-NAME: failed to create forwarding rule for load balancer (a01d427111c7011ea96e142010a80006(default/SERVICE-NAME)): googleapi: Error 403: Required 'compute.forwardingRules.create' permission for 'projects/PROJECT_ID/regions/[region]/forwardingRules/FORWARDING_RULE_NAME', forbidden
Inoltre, senza altre concessioni, il tentativo di creare un nuovo oggetto Ingress provoca un messaggio di errore simile, perché il controller Ingress di Cloud Load Balancing deve creare un bilanciatore del carico delle applicazioni esterno.
I messaggi di errore di GKE sono disponibili utilizzando i comandi kubectl describe
e kubectl get events -w
.
Passaggi successivi
- Scopri di più su IAM.
- Concedi ruoli IAM.