Controllo dell'accesso per le cartelle con IAM

Google Cloud offre Identity and Access Management (IAM), che consente di fornire un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.

IAM ti consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM. I criteri IAM assegnano uno o più ruoli specifici a un utente, concedendogli determinate autorizzazioni.

Questa pagina illustra i ruoli IAM disponibili a livello di cartelle e come creare e gestire i criteri IAM per le cartelle utilizzando l'API Cloud Resource Manager. Per una descrizione dettagliata di IAM, consulta la documentazione di IAM. In particolare, consulta Assegnazione, modifica e revoca dell'accesso.

Panoramica dei ruoli IAM per le cartelle

Per aiutarti a configurare i ruoli IAM, la seguente tabella elenca:

  • Il tipo di azioni da abilitare
  • I ruoli richiesti per eseguire queste azioni
  • Il livello di risorsa a cui devi applicare questi ruoli
Tipo di azioni Ruoli richiesti A livello di risorsa
Amministrare le cartelle nella risorsa dell'organizzazione Amministratore cartelle Risorsa dell'organizzazione
Amministrare una cartella e tutti i progetti e le cartelle che contiene Amministratore cartelle Cartella specifica
Accedere alle policy IAM di una cartella e gestirle Folder IAM Admin Cartella specifica
Creare nuove cartelle Creatore cartella Risorsa principale per la posizione delle nuove cartelle
Spostare cartelle e progetti Autore spostamento cartella Risorsa principale sia per la posizione della cartella originale sia per quella della nuova cartella
Spostare un progetto in una nuova cartella Editor progetto o proprietario progetto Risorsa principale sia per la posizione del progetto originale sia per quella del nuovo progetto
elimina una cartella Editor cartella o Amministratore cartelle Cartella specifica

Best practice per l'utilizzo di ruoli e autorizzazioni IAM con le cartelle

Quando assegni i ruoli e le autorizzazioni IAM da utilizzare con le cartelle, tieni presente quanto segue:

  • Utilizza i gruppi, se possibile, per gestire i principali.
  • Riduci al minimo l'utilizzo dei ruoli di base, come proprietario, editor e visualizzatore. Prova invece a utilizzare i ruoli predefiniti per il principio del privilegio minimo.
  • Per la gestione a livello di cartella, assegna le autorizzazioni a livello di cartella e fai in modo che i progetti le ereditino automaticamente. Ad esempio, potresti assegnare al gruppo di amministratori del reparto il ruolo Amministratore della cartella per la cartella. Gli amministratori di rete che devono disporre di autorizzazioni per tutto il reparto possono avere il ruolo Amministratore di rete per la cartella.
  • Valuta attentamente quali autorizzazioni potrebbero cambiare prima di spostare una risorsa da una cartella. In caso contrario, potresti rischiare di interrompere le app o i flussi di lavoro esistenti che richiedono queste autorizzazioni per la risorsa.
  • Pianifica e testa attentamente la gerarchia delle risorse prima di spostare i progetti di produzione nelle cartelle. Un modo per farlo è creare una cartella di test nella risorsa dell'organizzazione e creare in anticipo un prototipo della gerarchia prevista.
  • Se concedi un ruolo a un utente a livello di cartella, questo ruolo verrà concesso anche per tutte le risorse all'interno della cartella. Ad esempio, se concedi a un utente il ruolo Amministratore Compute (roles/compute.admin) in una cartella, questo utente avrà il controllo completo di tutte le risorse Compute Engine in ogni progetto della cartella.

Informazioni sui ruoli e sulle autorizzazioni delle cartelle

Ruoli predefiniti

Quando crei una cartella, ti vengono assegnati i ruoli Amministratore della cartella e Editor della cartella per la cartella in modo da avere il controllo completo come autore. Di seguito sono riportate le autorizzazioni fornite da questi ruoli. Questi ruoli predefinite possono essere modificati come di consueto in un criterio IAM.

Utilizzo di ruoli predefiniti

Ruolo Autorizzazioni

(roles/resourcemanager.folderAdmin)

Fornisce tutte le autorizzazioni disponibili per lavorare con le cartelle.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

essentialcontacts.*

  • essentialcontacts.contacts.create
  • essentialcontacts.contacts.delete
  • essentialcontacts.contacts.get
  • essentialcontacts.contacts.list
  • essentialcontacts.contacts.send
  • essentialcontacts.contacts.update

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.folders.*

  • resourcemanager.folders.create
  • resourcemanager.folders.createPolicyBinding
  • resourcemanager.folders.delete
  • resourcemanager.folders.deletePolicyBinding
  • resourcemanager.folders.get
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.list
  • resourcemanager.folders.move
  • resourcemanager.folders.searchPolicyBindings
  • resourcemanager.folders.setIamPolicy
  • resourcemanager.folders.undelete
  • resourcemanager.folders.update
  • resourcemanager.folders.updatePolicyBinding

resourcemanager.hierarchyNodes.*

  • resourcemanager.hierarchyNodes.createTagBinding
  • resourcemanager.hierarchyNodes.deleteTagBinding
  • resourcemanager.hierarchyNodes.listEffectiveTags
  • resourcemanager.hierarchyNodes.listTagBindings

resourcemanager.projects.createPolicyBinding

resourcemanager.projects.deletePolicyBinding

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

resourcemanager.projects.move

resourcemanager.projects.searchPolicyBindings

resourcemanager.projects.setIamPolicy

resourcemanager.projects.updatePolicyBinding

(roles/resourcemanager.folderIamAdmin)

Fornisce le autorizzazioni per amministrare i criteri di autorizzazione per le cartelle.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

resourcemanager.folders.createPolicyBinding

resourcemanager.folders.deletePolicyBinding

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.setIamPolicy

resourcemanager.folders.updatePolicyBinding

(roles/resourcemanager.folderCreator)

Fornisce le autorizzazioni necessarie per esplorare la gerarchia e creare cartelle.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.folders.create

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderEditor)

Fornisce l'autorizzazione per modificare le cartelle e per visualizzare il criterio di autorizzazione di una cartella.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.folders.delete

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.list

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.undelete

resourcemanager.folders.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderMover)

Fornisce l'autorizzazione per spostare progetti e cartelle all'interno e all'esterno di un'organizzazione o di una cartella principale.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

resourcemanager.folders.move

resourcemanager.projects.move

(roles/resourcemanager.folderViewer)

Fornisce l'autorizzazione per ottenere una cartella ed elencare le cartelle e i progetti al di sotto di una risorsa.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Cartella

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

Creazione di ruoli personalizzati

Oltre ai ruoli predefiniti descritti in questo argomento, puoi anche creare ruoli personalizzati, ovvero raccolte di autorizzazioni che puoi personalizzare in base alle tue esigenze. Quando crei un ruolo personalizzato da utilizzare con Resource Manager, tieni presente quanto segue:
  • Le autorizzazioni di elenco e di acquisizione, come resourcemanager.projects.get/list, devono sempre essere concesse in coppia.
  • Se il ruolo personalizzato include le autorizzazioni folders.list e folders.get, deve includere anche projects.list e projects.get.
  • Tieni presente che l'autorizzazione setIamPolicy per le risorse dell'organizzazione, della cartella e del progetto consente all'utente di concedere tutte le altre autorizzazioni, pertanto deve essere assegnata con attenzione.

Assegnazione dei ruoli per abilitare la navigazione nelle cartelle

Le autorizzazioni di elenco consentono di sfogliare le cartelle. I due tipi di autorizzazioni di elenco che solitamente devono essere concesse sono resourcemanager.folders.list, che consente agli utenti di elencare le cartelle in una risorsa, e resourcemanager.projects.list, che consente agli utenti di sfogliare i progetti in una risorsa o una cartella dell'organizzazione. L'Amministratore organizzazione viene inizializzato con entrambe le autorizzazioni. Per gli utenti a cui non è stato assegnato il ruolo Amministratore dell'organizzazione:

  • resourcemanager.folders.list può essere concesso tramite i ruoli Visualizzatore di cartelle e Editor di cartelle.
  • resourcemanager.projects.list può essere concesso tramite i ruoli Visualizzatore o Browser.

Affinché i principali delle risorse dell'organizzazione possano sfogliare l'intera gerarchia delle risorse dell'organizzazione, le autorizzazioni di elenco devono essere concesse a livello di risorsa dell'organizzazione.

Assegnazione dei ruoli per abilitare la creazione di cartelle

Agli utenti che devono creare cartelle deve essere concesso il ruolo Creatore di cartelle in una risorsa della gerarchia superiore al livello in cui verrà creata la cartella. Può essere utile concedere le autorizzazioni di navigazione insieme alle autorizzazioni di creazione di cartelle in modo che gli utenti possano accedere in modo efficace alla posizione nella gerarchia in cui verrà creata la cartella. Per ulteriori informazioni sulle autorizzazioni di navigazione, consulta la sezione precedente.

Folder Creator non concede a un utente l'autorizzazione per eliminare una cartella. Tuttavia, quando una persona crea una cartella, a questa viene assegnato automaticamente il ruolo Editor di cartelle. Il ruolo Editor di cartelle consente l'eliminazione delle cartelle.

Assegnare i ruoli per consentire lo spostamento delle cartelle

Per spostare una cartella da una risorsa principale all'altra, gli utenti devono disporre del ruolo Spostatore di cartelle sia per le risorse principali precedenti che per quelle nuove oppure per un antecessore comune.

Concedere i ruoli per consentire il trasferimento del progetto

Per spostare un progetto in una cartella, gli utenti devono disporre dei ruoli Editor del progetto o Proprietario del progetto nel progetto e del ruolo Spostatore di progetti sia nelle risorse principali di origine che in quelle di destinazione.

Questo è leggermente diverso dai requisiti per spostare un progetto di proprietà di un'altra organizzazione nella risorsa dell'organizzazione, in cui gli utenti devono disporre del ruolo Editor di progetto o Proprietario del progetto nel progetto e del ruolo Autore progetto nella risorsa dell'organizzazione.

Concedere ruoli specifici per le cartelle per consentire la creazione di progetti

Per creare progetti, gli utenti devono disporre del ruolo Autore del progetto. Tuttavia, anziché concedere l'autorizzazione di creazione di progetti a livello di organizzazione, può essere utile limitare gli utenti alla visualizzazione e alla creazione di progetti solo all'interno di una determinata cartella.

Per concedere autorizzazioni specifiche per le cartelle:

  1. Concedi all'utente il ruolo Visualizzatore dell'organizzazione a livello di nodo dell'organizzazione (ad es. domain.com).
  2. Crea una nuova cartella.
  3. Aggiungi l'utente ad IAM a livello di cartella e concedi i ruoli Visualizzatore cartelle e Creator di progetti.

In questo modo l'utente può creare progetti nella propria cartella senza concedere loro la visibilità a tutti i progetti della risorsa dell'organizzazione più grande.