Controllo dell'accesso con IAM

Questo documento descrive le opzioni di controllo dell'accesso per Pub/Sub Lite. Pub/Sub Lite utilizza Identity and Access Management per controllo dell'accesso.

Per concedere a un utente o a un'applicazione l'accesso alle risorse Pub/Sub Lite, concedi almeno un ruolo predefinito o personalizzato per l'utente o l'account di servizio utilizzato dall'applicazione. I ruoli includono le autorizzazioni per eseguire azioni specifiche sulle risorse Pub/Sub Lite.

Ruoli predefiniti

La tabella seguente elenca i ruoli predefiniti che ti consentono di accedere alle risorse Pub/Sub Lite:

Ruolo Titolo Descrizione Autorizzazioni
roles/pubsublite.admin Pub/Sub Lite Admin Accesso completo agli argomenti e alle sottoscrizioni Lite. pubsublite.*
roles/pubsublite.editor Pub/Sub Lite Editor Modificare gli argomenti e le sottoscrizioni Lite, pubblicare messaggi in argomenti Lite e Ricevere messaggi dalle sottoscrizioni Lite. pubsublite.*
roles/pubsublite.publisher Pub/Sub Lite Publisher Pubblicare messaggi negli argomenti Lite.
  • pubsublite.topics.getPartitions
  • pubsublite.topics.publish
  • pubsublite.locations.openKafkaStream
    		•
    roles/pubsublite.subscriber Pub/Sub Lite Subscriber Ricevere messaggi dalle sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.seek
    • pubsublite.subscriptions.setCursor
    • pubsublite.subscriptions.subscribe
    • pubsublite.topics.computeHeadCursor
    • pubsublite.topics.computeMessageStats
    • pubsublite.topics.computeTimeCursor
    • pubsublite.topics.getPartitions
    • pubsublite.topics.subscribe
    • pubsublite.locations.openKafkaStream
    roles/pubsublite.viewer Pub/Sub Lite Viewer Visualizza argomenti e sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.operations.list
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.list
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions

    Ruoli personalizzati

    I ruoli personalizzati possono includere qualsiasi autorizzazione specificata. Puoi creare impostazioni personalizzate ruoli che includono autorizzazioni per eseguire specifiche operazioni amministrative, ad esempio l'aggiornamento degli argomenti Lite o l'eliminazione delle sottoscrizioni Lite. Per creare modelli ruoli, consulta l'articolo sulla creazione e gestione ruoli.

    La tabella seguente elenca alcuni esempi di ruoli personalizzati:

    Descrizione Autorizzazioni
    Crea e gestisci le prenotazioni Lite.
    • pubsublite.reservations.create
    • pubsublite.reservations.update
    • pubsublite.reservations.get
    • pubsublite.reservations.list
    • pubsublite.reservations.delete
    Crea e gestisci gli argomenti Lite.
    • pubsublite.topics.create
    • pubsublite.topics.update
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions
    • pubsublite.topics.delete
    Crea e gestisci sottoscrizioni Lite.
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    • pubsublite.subscriptions.update
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.list
    • pubsublite.subscriptions.delete
    Crea argomenti e sottoscrizioni Lite.
    • pubsublite.topics.create
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    Modificare gli argomenti e le sottoscrizioni Lite.
    • pubsublite.topics.update
    • pubsublite.subscriptions.update
    Elimina gli argomenti e le sottoscrizioni Lite.
    • pubsublite.topics.delete
    • pubsublite.subscriptions.delete

    Concessione dei ruoli in corso…

    Puoi concedere i ruoli per accedere alle risorse Pub/Sub Lite a livello di progetto. Ad esempio, puoi concedere a un account di servizio l'accesso per visualizzare qualsiasi argomento Lite in un progetto, ma non puoi concedere l'accesso a un account di servizio per visualizzare un singolo argomento Lite.

    Per concedere un ruolo a un progetto, puoi utilizzare la console Google Cloud o la CLI Google Cloud.

    Console

    Per concedere un ruolo a un utente, a un account di servizio o a un altro membro:

    1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

    1. Fai clic su Aggiungi.

    2. Inserisci l'indirizzo email di un utente, di un account di servizio o di un altro membro.

    3. Seleziona un ruolo.

    4. Fai clic su Salva.

    gcloud

    Per concedere un ruolo a un utente, un account di servizio o un altro membro, esegui il gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=ROLE_ID

    Sostituisci quanto segue:

    Puoi anche ottenere un file JSON o YAML con lo stato IAM attuale aggiungi più ruoli o membri al file e poi aggiorna il criterio. Per leggere e gestire il criterio, utilizza Google Cloud CLI, l'API IAM, o IAM. Per maggiori dettagli, consulta Controllo dell'accesso. in modo programmatico.

    Passaggi successivi