Le condizioni IAM (Identity and Access Management) ti consentono di definire
Criteri IAM con concessioni condizionali. Puoi specificare le condizioni in
Le associazioni di ruoli del criterio IAM di una risorsa. Se
, il ruolo viene concesso solo se l'espressione della condizione è
restituisce true. Ogni espressione di condizione è un insieme di istruzioni logiche,
che ti permette di specificare uno o più attributi. Per ulteriori informazioni, consulta
Riferimento degli attributi per le condizioni IAM.
Se utilizzate con Cloud Load Balancing, le condizioni IAM consentono di concedere in modo condizionale i ruoli predefiniti, ad esempio Amministratore bilanciatore del carico o Amministratore di rete o ruoli personalizzati.
Le condizioni IAM supportano un'espressione di condizione per controllare il carico schema di bilanciamento di un personalizzata. Ad esempio, puoi concedere in modo condizionale a un'entità IAM la possibilità di creare bilanciatori del carico interni, ma non esterni. Se IAM L'entità tenta di creare una regola di forwarding per un bilanciatore del carico esterno Google Cloud nega l'azione e restituisce un errore come il seguente:
ERROR: (gcloud.compute.forwarding-rules.create) Could not fetch resource: - Required 'compute.forwardingRules.create' permission for 'projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME'
Utilizzo delle condizioni IAM sui bilanciatori del carico Google Cloud
Lo schema di bilanciamento del carico di una regola di forwarding determina il tipo o i tipi di può usare la regola di forwarding. In altre parole, il bilanciamento del carico corrisponde al tipo di bilanciatore del carico, come mostrato nella tabella seguente.
| Schema di bilanciamento del carico | Descrizione |
|---|---|
| EXTERNAL | Bilanciatore del carico delle applicazioni classico Bilanciatore del carico di rete proxy classico Bilanciatore del carico di rete passthrough esterno |
| EXTERNAL_MANAGED | Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico di rete proxy esterno globale Network Load Balancer proxy esterno regionale |
| INTERNAL | Bilanciatore del carico di rete passthrough interno |
| INTERNAL_MANAGED | Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico delle applicazioni interno tra regioni Bilanciatore del carico di rete proxy interno regionale Bilanciatore del carico di rete proxy interno tra regioni |
| INTERNAL_SELF_MANAGED | Cloud Service Mesh |
Puoi specificare il campo loadBalancingScheme quando crei il bilanciatore del carico.
Se il campo loadBalancingScheme è in una condizione IAM,
puoi concedere alle entità la possibilità di creare determinati tipi di bilanciatori del carico.
Specifica delle condizioni IAM
Puoi impostare associazioni di ruoli condizionali utilizzando lo stesso metodo setIamPolicy che
che utilizzerai per configurare qualsiasi altra associazione di ruoli. Per impostare un'associazione di ruolo con un
su un progetto, puoi usare l'API REST, la riga di comando gcloud
o la pagina IAM della console Google Cloud.
Per saperne di più, consulta Gestione dei criteri condizionali.
Esempi di espressioni delle condizioni per il bilanciamento del carico
La seguente espressione di condizione, che può essere utilizzata in un ambiente IAM , consente una richiesta API solo se una delle seguenti condizioni è vera:
- La richiesta non prevede la creazione di una regola di forwarding.
La richiesta consiste nella creazione di una regola di forwarding che abbia uno dei schemi di machine learning.
!compute.isForwardingRuleCreationOperation() || ( compute.isForwardingRuleCreationOperation() && compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED']) )
Lo schema di bilanciamento del carico EXTERNAL è omesso.
Se un'entità tenta di creare una regola di forwarding con il caricamento EXTERNAL
di bilanciamento del carico, viene visualizzato un messaggio di errore relativo alle autorizzazioni.
Norma di esempio
Questo criterio IAM di esempio per un progetto concede la
Entità IAM jane@example.com amministratore bilanciatore del carico
ruolo predefinito, esclusa la possibilità di creare bilanciatori del carico esterni
(perché lo schema di bilanciamento del carico EXTERNAL è omesso). jane@example.com
creare bilanciatori del carico interni e gestire, modificare ed eliminare qualsiasi carico
con il bilanciatore del carico di rete
passthrough esterno regionale.
{
"bindings": [
{
"role": "roles/compute.loadBalancerAdmin",
"members": ["user:jane@example.com"],
"condition": {
"title": "only_internal_lb_schemes",
"description": "Internal LB creation only permitted",
"expression": "
!compute.isForwardingRuleCreationOperation() || (
compute.isForwardingRuleCreationOperation() &&
compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'])
)
"
}
}
]
}
Concessione di autorizzazioni all'account di servizio GKE per tipi specifici di regole di forwarding
Puoi anche utilizzare le condizioni IAM per limitare l'accesso l'account di servizio GKE per creare solo tipi specifici di forwarding le regole del caso.
Questo esempio JSON mostra un criterio IAM completo per concedere
Account di servizio GKE
(service-PROJECT_ID@container-engine-robot.iam.gserviceaccount.com)
Agente di servizio Kubernetes Engine. Questo ruolo consente all'account di servizio
creare, modificare ed eliminare i componenti del bilanciatore del carico, ad eccezione di
e le regole di forwarding.
Utilizzando questa concessione condizionale, l'account di servizio GKE creano solo nuove regole di forwarding interno, ma può gestire tutte e le regole di forwarding.
{
"bindings": [
{
"role": "roles/container.serviceAgent",
"members": ["serviceAccount:service-PROJECT_ID@container-engine-robot.iam.gserviceaccount.com"],
"condition": {
"title": "only_internal_lb_schemes",
"description": "Internal LB Creation Only Permitted",
"expression": "(
compute.isForwardingRuleCreationOperation()
&&
compute.matchLoadBalancingSchemes(['INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'])
)
||
!compute.isForwardingRuleCreationOperation()
"
}
}
]
}
Altre concessioni mancanti, tentativo di creare un nuovo servizio GKE di digita LoadBalancer, senza l'annotazione per un bilanciatore del carico di rete passthrough interno, genera un messaggio di errore simile al seguente:
Error creating load balancer (will retry): failed to ensure load balancer for service default/SERVICE-NAME: failed to create forwarding rule for load balancer (a01d427111c7011ea96e142010a80006(default/SERVICE-NAME)): googleapi: Error 403: Required 'compute.forwardingRules.create' permission for 'projects/PROJECT_ID/regions/[region]/forwardingRules/FORWARDING_RULE_NAME', forbidden
Inoltre, senza altre concessioni, il tentativo di creare un nuovo oggetto Ingress causa un messaggio di errore simile perché il traffico in entrata di Cloud Load Balancing un controller deve creare un bilanciatore del carico delle applicazioni esterno.
I messaggi di errore di GKE sono disponibili
Comandi kubectl describe e kubectl get events -w.
Passaggi successivi
- Scopri di più su IAM.
- Concedi ruoli IAM.