Controllo dell'accesso con IAM

Questo documento descrive le opzioni di controllo dell'accesso per Pub/Sub Lite. Pub/Sub Lite utilizza Identity and Access Management per controllo dell'accesso.

Per concedere a un utente o a un'applicazione l'accesso alle risorse Pub/Sub Lite, concedi almeno un ruolo predefinito o personalizzato all'utente o all'account di servizio utilizzato dall'applicazione. I ruoli includono le autorizzazioni per eseguire azioni specifiche sulle risorse Pub/Sub Lite.

Ruoli predefiniti

La tabella seguente elenca i ruoli predefiniti che ti consentono di accedere alle risorse Pub/Sub Lite:

Ruolo Titolo Descrizione Autorizzazioni
roles/pubsublite.admin Amministratore Pub/Sub Lite Accesso completo agli argomenti e alle sottoscrizioni Lite. pubsublite.*
roles/pubsublite.editor Editor Pub/Sub Lite Consente di modificare gli argomenti e le sottoscrizioni Lite, pubblicare messaggi negli argomenti Lite e ricevere messaggi dalle sottoscrizioni Lite. pubsublite.*
roles/pubsublite.publisher Publisher Pub/Sub Lite Pubblicare messaggi su argomenti Lite.
  • pubsublite.topics.getPartitions
  • pubsublite.topics.publish
  • pubsublite.locations.openKafkaStream
    		•
    roles/pubsublite.subscriber Sottoscrittore Pub/Sub Lite Ricevi messaggi dalle sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.seek
    • pubsublite.subscriptions.setCursor
    • pubsublite.subscriptions.subscribe
    • pubsublite.topics.computeHeadCursor
    • pubsublite.topics.computeMessageStats
    • pubsublite.topics.computeTimeCursor
    • pubsublite.topics.getPartitions
    • pubsublite.topics.subscribe
    • pubsublite.locations.openKafkaStream
    roles/pubsublite.viewer Visualizzatore Pub/Sub Lite Visualizza gli argomenti e le sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.operations.list
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.list
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions

    Ruoli personalizzati

    I ruoli personalizzati possono includere qualsiasi autorizzazione specificata. Puoi creare ruoli personalizzati che includono autorizzazioni per eseguire specifiche operazioni amministrative, come l'aggiornamento di argomenti Lite o l'eliminazione di sottoscrizioni Lite. Per creare ruoli personalizzati, consulta Creazione e gestione dei ruoli personalizzati.

    La seguente tabella elenca alcuni esempi di ruoli personalizzati:

    Descrizione Autorizzazioni
    Crea e gestisci le prenotazioni Lite.
    • pubsublite.reservations.create
    • pubsublite.reservations.update
    • pubsublite.reservations.get
    • pubsublite.reservations.list
    • pubsublite.reservations.delete
    Crea e gestisci argomenti Lite.
    • pubsublite.topics.create
    • pubsublite.topics.update
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions
    • pubsublite.topics.delete
    Crea e gestisci sottoscrizioni Lite.
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    • pubsublite.subscriptions.update
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.list
    • pubsublite.subscriptions.delete
    Creare argomenti e sottoscrizioni Lite.
    • pubsublite.topics.create
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    Modificare gli argomenti e le sottoscrizioni Lite.
    • pubsublite.topics.update
    • pubsublite.subscriptions.update
    Elimina gli argomenti e le sottoscrizioni Lite.
    • pubsublite.topics.delete
    • pubsublite.subscriptions.delete

    Concessione dei ruoli in corso…

    Puoi concedere ruoli per accedere alle risorse Pub/Sub Lite a livello di progetto. Ad esempio, puoi concedere l'accesso a un account di servizio per visualizzare qualsiasi argomento Lite in un progetto, ma non puoi concedere l'accesso a un account di servizio per visualizzare un singolo argomento Lite.

    Per concedere un ruolo a un progetto, puoi utilizzare la console Google Cloud o Google Cloud CLI.

    Console

    Per concedere un ruolo a un utente, un account di servizio o un altro membro, segui questi passaggi:

    1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

    1. Fai clic su Aggiungi.

    2. Inserisci l'indirizzo email di un utente, un account di servizio o un altro membro.

    3. Seleziona un ruolo.

    4. Fai clic su Salva.

    gcloud

    Per concedere un ruolo a un utente, un account di servizio o un altro membro, esegui il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=ROLE_ID

    Sostituisci quanto segue:

    Puoi anche ottenere un file JSON o YAML con il criterio IAM attuale, aggiungere più ruoli o membri al file e quindi aggiornare il criterio. Per leggere e gestire il criterio, utilizza Google Cloud CLI, l'API IAM o la piattaforma IAM. Per maggiori dettagli, consulta Controllo dell'accesso in modo programmatico.

    Passaggi successivi