Google Cloud offre Identity and Access Management (IAM), che consente di fornire un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM ti consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM. I criteri IAM assegnano uno o più ruoli specifici a un utente, concedendogli determinate autorizzazioni.
Questa pagina illustra i ruoli IAM disponibili a livello di cartelle e come creare e gestire i criteri IAM per le cartelle utilizzando l'API Cloud Resource Manager. Per una descrizione dettagliata di IAM, consulta la documentazione di IAM. In particolare, consulta Assegnazione, modifica e revoca dell'accesso.
Panoramica dei ruoli IAM per le cartelle
Per aiutarti a configurare i ruoli IAM, la seguente tabella elenca:
- Il tipo di azioni da abilitare
- I ruoli richiesti per eseguire queste azioni
- Il livello di risorsa a cui devi applicare questi ruoli
Tipo di azioni | Ruoli richiesti | A livello di risorsa |
---|---|---|
Amministrare le cartelle nella risorsa dell'organizzazione | Amministratore cartelle | Risorsa dell'organizzazione |
Amministrare una cartella e tutti i progetti e le cartelle che contiene | Amministratore cartelle | Cartella specifica |
Accedere alle policy IAM di una cartella e gestirle | Folder IAM Admin | Cartella specifica |
Creare nuove cartelle | Creatore cartella | Risorsa principale per la posizione delle nuove cartelle |
Spostare cartelle e progetti | Autore spostamento cartella | Risorsa principale sia per la posizione della cartella originale sia per quella della nuova cartella |
Spostare un progetto in una nuova cartella | Editor progetto o proprietario progetto | Risorsa principale sia per la posizione del progetto originale sia per quella del nuovo progetto |
elimina una cartella | Editor cartella o Amministratore cartelle | Cartella specifica |
Best practice per l'utilizzo di ruoli e autorizzazioni IAM con le cartelle
Quando assegni i ruoli e le autorizzazioni IAM da utilizzare con le cartelle, tieni presente quanto segue:
- Utilizza i gruppi, se possibile, per gestire i principali.
- Riduci al minimo l'utilizzo dei ruoli di base, come proprietario, editor e visualizzatore. Prova invece a utilizzare i ruoli predefiniti per il principio del privilegio minimo.
- Per la gestione a livello di cartella, assegna le autorizzazioni a livello di cartella e fai in modo che i progetti le ereditino automaticamente. Ad esempio, potresti assegnare al gruppo di amministratori del reparto il ruolo Amministratore della cartella per la cartella. Gli amministratori di rete che devono disporre di autorizzazioni per tutto il reparto possono avere il ruolo Amministratore di rete per la cartella.
- Valuta attentamente quali autorizzazioni potrebbero cambiare prima di spostare una risorsa da una cartella. In caso contrario, potresti rischiare di interrompere le app o i flussi di lavoro esistenti che richiedono queste autorizzazioni per la risorsa.
- Pianifica e testa attentamente la gerarchia delle risorse prima di spostare i progetti di produzione nelle cartelle. Un modo per farlo è creare una cartella di test nella risorsa dell'organizzazione e creare in anticipo un prototipo della gerarchia prevista.
- Se concedi un ruolo a un utente a livello di cartella, questo ruolo verrà concesso anche per tutte le risorse all'interno della cartella. Ad esempio, se concedi a un utente il ruolo Amministratore Compute (
roles/compute.admin
) in una cartella, questo utente avrà il controllo completo di tutte le risorse Compute Engine in ogni progetto della cartella.
Informazioni sui ruoli e sulle autorizzazioni delle cartelle
Ruoli predefiniti
Quando crei una cartella, ti vengono assegnati i ruoli Amministratore della cartella e Editor della cartella per la cartella in modo da avere il controllo completo come autore. Di seguito sono riportate le autorizzazioni fornite da questi ruoli. Questi ruoli predefinite possono essere modificati come di consueto in un criterio IAM.
Utilizzo di ruoli predefiniti
Ruolo | Autorizzazioni |
---|---|
Amministratore cartelle( Fornisce tutte le autorizzazioni disponibili per lavorare con le cartelle. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Folder IAM Admin( Fornisce le autorizzazioni per amministrare i criteri di autorizzazione per le cartelle. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Creatore cartella( Fornisce le autorizzazioni necessarie per esplorare la gerarchia e creare cartelle. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Editor cartella( Fornisce l'autorizzazione per modificare le cartelle e per visualizzare il criterio di autorizzazione di una cartella. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Autore spostamento cartella( Fornisce l'autorizzazione per spostare progetti e cartelle all'interno e all'esterno di un'organizzazione o di una cartella principale. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Folder Viewer( Fornisce l'autorizzazione per ottenere una cartella ed elencare le cartelle e i progetti al di sotto di una risorsa. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Creazione di ruoli personalizzati
Oltre ai ruoli predefiniti descritti in questo argomento, puoi anche creare ruoli personalizzati, ovvero raccolte di autorizzazioni che puoi personalizzare in base alle tue esigenze. Quando crei un ruolo personalizzato da utilizzare con Resource Manager, tieni presente quanto segue:- Le autorizzazioni di elenco e di acquisizione, come
resourcemanager.projects.get/list
, devono sempre essere concesse in coppia. - Se il ruolo personalizzato include le autorizzazioni
folders.list
efolders.get
, deve includere ancheprojects.list
eprojects.get
. - Tieni presente che l'autorizzazione
setIamPolicy
per le risorse dell'organizzazione, della cartella e del progetto consente all'utente di concedere tutte le altre autorizzazioni, pertanto deve essere assegnata con attenzione.
Assegnazione dei ruoli per abilitare la navigazione nelle cartelle
Le autorizzazioni di elenco consentono di sfogliare le cartelle. I due tipi di autorizzazioni di elenco che solitamente devono essere concesse sono resourcemanager.folders.list
, che consente agli utenti di elencare le cartelle in una risorsa, e resourcemanager.projects.list
, che consente agli utenti di sfogliare i progetti in una risorsa o una cartella dell'organizzazione. L'Amministratore organizzazione viene inizializzato con entrambe le autorizzazioni. Per gli utenti a cui non è stato assegnato il ruolo Amministratore dell'organizzazione:
resourcemanager.folders.list
può essere concesso tramite i ruoli Visualizzatore di cartelle e Editor di cartelle.resourcemanager.projects.list
può essere concesso tramite i ruoli Visualizzatore o Browser.
Affinché i principali delle risorse dell'organizzazione possano sfogliare l'intera gerarchia delle risorse dell'organizzazione, le autorizzazioni di elenco devono essere concesse a livello di risorsa dell'organizzazione.
Assegnazione dei ruoli per abilitare la creazione di cartelle
Agli utenti che devono creare cartelle deve essere concesso il ruolo Creatore di cartelle in una risorsa della gerarchia superiore al livello in cui verrà creata la cartella. Può essere utile concedere le autorizzazioni di navigazione insieme alle autorizzazioni di creazione di cartelle in modo che gli utenti possano accedere in modo efficace alla posizione nella gerarchia in cui verrà creata la cartella. Per ulteriori informazioni sulle autorizzazioni di navigazione, consulta la sezione precedente.
Folder Creator non concede a un utente l'autorizzazione per eliminare una cartella. Tuttavia, quando una persona crea una cartella, a questa viene assegnato automaticamente il ruolo Editor di cartelle. Il ruolo Editor di cartelle consente l'eliminazione delle cartelle.
Assegnare i ruoli per consentire lo spostamento delle cartelle
Per spostare una cartella da una risorsa principale all'altra, gli utenti devono disporre del ruolo Spostatore di cartelle sia per le risorse principali precedenti che per quelle nuove oppure per un antecessore comune.
Concedere i ruoli per consentire il trasferimento del progetto
Per spostare un progetto in una cartella, gli utenti devono disporre dei ruoli Editor del progetto o Proprietario del progetto nel progetto e del ruolo Spostatore di progetti sia nelle risorse principali di origine che in quelle di destinazione.
Questo è leggermente diverso dai requisiti per spostare un progetto di proprietà di un'altra organizzazione nella risorsa dell'organizzazione, in cui gli utenti devono disporre del ruolo Editor di progetto o Proprietario del progetto nel progetto e del ruolo Autore progetto nella risorsa dell'organizzazione.
Concedere ruoli specifici per le cartelle per consentire la creazione di progetti
Per creare progetti, gli utenti devono disporre del ruolo Autore del progetto. Tuttavia, anziché concedere l'autorizzazione di creazione di progetti a livello di organizzazione, può essere utile limitare gli utenti alla visualizzazione e alla creazione di progetti solo all'interno di una determinata cartella.
Per concedere autorizzazioni specifiche per le cartelle:
- Concedi all'utente il ruolo Visualizzatore dell'organizzazione a livello di nodo dell'organizzazione (ad es. domain.com).
- Crea una nuova cartella.
- Aggiungi l'utente ad IAM a livello di cartella e concedi i ruoli Visualizzatore cartelle e Creator di progetti.
In questo modo l'utente può creare progetti nella propria cartella senza concedere loro la visibilità a tutti i progetti della risorsa dell'organizzazione più grande.