Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a specifiche risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. IAM consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un utente, assegnandogli determinate autorizzazioni.
Questa pagina illustra i ruoli IAM disponibili a livello di cartella e spiega come creare e gestire i criteri IAM per le cartelle utilizzando l'API Cloud Resource Manager. Per una descrizione dettagliata di IAM, leggi la documentazione di IAM. In particolare, consulta Concessione, modifica e revoca dell'accesso.
Panoramica dei ruoli IAM per le cartelle
Per aiutarti a configurare i tuoi ruoli IAM, la tabella riportata di seguito elenca:
- Il tipo di azioni che vuoi attivare
- I ruoli necessari per eseguire queste azioni
- Il livello di risorsa a cui devi applicare questi ruoli
| Tipo di azioni | Ruoli obbligatori | Livello risorsa |
|---|---|---|
| Amministra le cartelle nella risorsa dell'organizzazione | Amministratore cartelle | Risorsa organizzazione |
| Amministra una cartella e tutti i progetti e le cartelle che contiene | Amministratore cartelle | Cartella specifica |
| Accede ai criteri IAM di una cartella e li amministra | Amministratore IAM cartella | Cartella specifica |
| Crea nuove cartelle | Creatore cartella | Risorsa padre per la posizione delle nuove cartelle |
| Sposta cartelle e progetti | Autore spostamento cartella | Risorsa padre sia per la posizione della cartella originale che per la nuova posizione della cartella |
| Sposta un progetto in una nuova cartella | Editor del progetto o Proprietario progetto | Risorsa padre sia per la località del progetto originale che per la nuova località del progetto |
| elimina una cartella | Editor cartelle o amministratore cartelle | Cartella specifica |
Best practice per l'utilizzo di ruoli e autorizzazioni IAM con le cartelle
Quando assegni ruoli e autorizzazioni IAM da utilizzare con le cartelle, tieni presente quanto segue:
- Se possibile, utilizza i gruppi per gestire le entità.
- Riduci al minimo l'utilizzo dei ruoli di base, come proprietario, editor e visualizzatore. Prova invece a utilizzare i ruoli predefiniti per il principio del privilegio minimo.
- Per la gestione a livello di cartella, assegna le autorizzazioni a livello di cartella e fai in modo che i progetti le ereditino automaticamente. Ad esempio, puoi assegnare a un gruppo di amministratori del reparto il ruolo Amministratore cartelle per la cartella. Gli amministratori di rete che devono disporre di autorizzazioni a livello di reparto possono disporre del ruolo Amministratore rete per la cartella.
- Valuta attentamente quali autorizzazioni potrebbero cambiare prima di spostare una risorsa fuori da una cartella. In caso contrario, potresti rischiare di interrompere app o flussi di lavoro esistenti che richiedono queste autorizzazioni per la risorsa.
- Pianifica e testa attentamente la gerarchia delle risorse prima di spostare i progetti di produzione nelle cartelle. Un modo per farlo è creare una cartella di test nella risorsa dell'organizzazione e creare in anticipo un prototipo della gerarchia prevista.
- Se concedi un ruolo a un utente a livello di cartella, lo concedi anche per tutte le risorse al suo interno. Ad esempio, se concedi a un utente il ruolo Amministratore Compute (
roles/compute.admin) in una cartella, l'utente avrà il controllo completo di tutte le risorse Compute Engine in ogni progetto della cartella.
Informazioni sui ruoli e sulle autorizzazioni delle cartelle
Ruoli predefiniti
Quando crei una cartella, ti vengono assegnati i ruoli Amministratore cartelle ed Editor cartelle per la cartella, in modo da fornirti il controllo completo in qualità di creatore. Di seguito sono riportate le autorizzazioni fornite da questi ruoli. Questi ruoli predefiniti possono essere modificati normalmente in un criterio IAM.
Utilizzo dei ruoli predefiniti
| Ruolo | Autorizzazioni |
|---|---|
Amministratore cartelle( Fornisce tutte le autorizzazioni disponibili per l'utilizzo delle cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Amministratore IAM cartella( Fornisce le autorizzazioni per amministrare i criteri di autorizzazione sulle cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Creatore cartella( Fornisce le autorizzazioni necessarie per esplorare la gerarchia e creare cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Editor cartella( Fornisce l'autorizzazione per modificare le cartelle e per visualizzare il criterio di autorizzazione di una cartella. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Autore spostamento cartella( Fornisce l'autorizzazione per spostare progetti e cartelle all'interno e all'esterno di un'organizzazione o di una cartella padre. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Visualizzatore cartella( Fornisce l'autorizzazione per ottenere una cartella ed elencare le cartelle e i progetti al di sotto di una risorsa. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Creazione di ruoli personalizzati
Oltre ai ruoli predefiniti descritti in questo argomento, puoi creare anche ruoli personalizzati, ovvero raccolte di autorizzazioni da personalizzare in base alle tue esigenze. Quando crei un ruolo personalizzato da utilizzare con Resource Manager, tieni presente i seguenti punti:- Elencare e ottenere le autorizzazioni, ad esempio
resourcemanager.projects.get/list, devono essere sempre concesse in coppia. - Se il ruolo personalizzato include le autorizzazioni
folders.listefolders.get, deve includere ancheprojects.listeprojects.get. - Tieni presente che l'autorizzazione
setIamPolicyper le risorse dell'organizzazione, delle cartelle e del progetto consente all'utente di concedere tutte le altre autorizzazioni, pertanto deve essere assegnata con attenzione.
Concessione di ruoli per abilitare l'esplorazione delle cartelle
Elenco delle autorizzazioni abilita la navigazione delle cartelle. I due tipi di autorizzazioni di elenco che
in genere devono essere concessi sono resourcemanager.folders.list, che consente agli utenti di elencare le cartelle all'interno di una risorsa, e resourcemanager.projects.list, che consente agli utenti di sfogliare i progetti in una risorsa o cartella dell'organizzazione. L'Amministratore organizzazionee è inizializzato con entrambe queste autorizzazioni. Per
gli utenti a cui non è stato assegnato il ruolo Amministratore organizzazione:
resourcemanager.folders.listpuò essere concesso tramite i ruoli Visualizzatore cartelle ed Editor cartelle.resourcemanager.projects.listpuò essere concesso tramite i ruoli Visualizzatore o Browser.
Affinché le entità delle risorse dell'organizzazione possano esplorare l'intera gerarchia delle risorse dell'organizzazione, le autorizzazioni degli elenchi devono essere concesse a livello di risorsa dell'organizzazione.
Concessione di ruoli per abilitare la creazione delle cartelle
Agli utenti che devono creare cartelle deve essere concesso il ruolo Creatore cartelle per una risorsa nella gerarchia superiore al livello a cui verrà creata la cartella. Può essere utile concedere le autorizzazioni di navigazione insieme a quelle per la creazione delle cartelle, in modo che gli utenti possano raggiungere con efficacia la posizione in cui verrà creata la cartella nella gerarchia. Consulta la sezione sopra per ulteriori informazioni sulle autorizzazioni di navigazione.
L'opzione Creatore cartelle non concede a un utente l'autorizzazione per eliminare una cartella. Tuttavia, quando un utente crea una cartella, gli viene automaticamente concesso il ruolo Editor cartelle. Il ruolo Editor cartelle consente l'eliminazione delle cartelle.
Concessione di ruoli per abilitare lo spostamento delle cartelle
Per spostare una cartella da una risorsa padre a un'altra, gli utenti devono disporre del ruolo Strumento di spostamento cartelle per le risorse padre vecchie e nuove o su un predecessore comune.
Assegnazione di ruoli per consentire lo spostamento dei progetti
Per spostare un progetto in una cartella, gli utenti devono disporre dei ruoli Editor progetto o Proprietario progetto per il progetto e Autore spostamento progetto sia per le risorse padre di origine che di destinazione.
Questo è leggermente diverso dai requisiti per spostare un progetto non di proprietà dell'organizzazione nella risorsa organizzazione, dove gli utenti devono disporre del ruolo Editor progetto o Proprietario progetto nel progetto e del ruolo Autore progetto per la risorsa organizzazione.
Concessione di ruoli specifici per le cartelle per abilitare la creazione del progetto
Per creare progetti, gli utenti devono disporre del ruolo Autore progetto. Tuttavia, anziché concedere l'autorizzazione per la creazione di progetti a livello di organizzazione, può essere utile limitare gli utenti alla visualizzazione e alla creazione di progetti solo all'interno di una determinata cartella.
Per concedere autorizzazioni specifiche per le cartelle:
- Concedi all'utente il ruolo Visualizzatore organizzazione a livello di nodo organizzazione (ad esempio dominio.com).
- Crea una nuova cartella.
- Aggiungi l'utente a IAM a livello di cartella e assegnagli i ruoli Visualizzatore cartelle e Autore progetto.
In questo modo l'utente può creare progetti nella sua cartella senza concedere loro la visibilità di tutti i progetti nella risorsa dell'organizzazione più ampia.