Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorse Google Cloud specifiche e di impedire l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM ti consente di controllare chi (utenti) ha quale accesso (ruoli) a quali risorse impostando i criteri IAM, che concedono ruoli specifici contenenti determinate autorizzazioni.
Questa pagina illustra i ruoli e le autorizzazioni IAM che puoi utilizzare per gestire l'accesso ai progetti. Per una descrizione dettagliata di IAM, consulta la documentazione di IAM. In particolare, consulta Concessione, modifica e revoca dell'accesso.
Autorizzazioni e ruoli
Per controllare l'accesso alle risorse, Google Cloud richiede che gli account che inviano richieste API dispongano dei ruoli IAM appropriati. I ruoli IAM includono le autorizzazioni che consentono agli utenti di eseguire azioni specifiche sulle risorse Google Cloud. Ad esempio, l'autorizzazione resourcemanager.projects.delete
consente a un utente di eliminare un progetto.
Non concedi direttamente le autorizzazioni agli utenti, ma concedi loro ruoli, che includono una o più autorizzazioni. Assegni questi ruoli a una determinata risorsa, ma si applicano anche a tutti i discendenti della risorsa nella gerarchia delle risorse.
Autorizzazioni
Per gestire i progetti, l'utente che chiama deve disporre di un ruolo che includa le seguenti autorizzazioni. Il ruolo viene concesso alla risorsa o alla cartella dell'organizzazione che contiene i progetti:
Metodo | Autorizzazioni obbligatorie |
---|---|
resourcemanager.projects.create |
resourcemanager.projects.create |
resourcemanager.projects.delete |
resourcemanager.projects.delete |
resourcemanager.projects.get |
resourcemanager.projects.get La concessione di questa autorizzazione consentirà inoltre di ottenere l'accesso al nome dell'account di fatturazione associato al progetto tramite il metodo dell'API Billing billing.projects.getBillingInfo
. |
resourcemanager.projects.getIamPolicy |
resourcemanager.projects.getIamPolicy |
resourcemanager.projects.list |
resourcemanager.projects.list |
resourcemanager.projects.search |
resourcemanager.projects.get |
resourcemanager.projects.setIamPolicy |
resourcemanager.projects.setIamPolicy |
resourcemanager.projects.testIamPermissions |
Non richiede autorizzazioni. |
resourcemanager.projects.undelete |
resourcemanager.projects.undelete |
resourcemanager.projects.patch |
Per aggiornare i metadati di un progetto, è necessaria l'autorizzazioneresourcemanager.projects.update . Per aggiornare l'organizzazione di un progetto e spostarlo in una risorsa dell'organizzazione, è necessaria l'autorizzazione resourcemanager.projects.create per la risorsa dell'organizzazione. |
projects.move |
projects.move |
Utilizzo di ruoli predefiniti
I ruoli predefiniti IAM ti consentono di gestire con attenzione l'insieme di autorizzazioni a cui hanno accesso i tuoi utenti. Per un elenco completo dei ruoli che possono essere concessi a livello di progetto, consulta Informazioni sui ruoli.
La tabella seguente elenca i ruoli predefiniti che puoi utilizzare per concedere l'accesso a un progetto. Ogni ruolo include una descrizione della relativa funzione e le autorizzazioni incluse.
Ruolo | Autorizzazioni |
---|---|
Project Creator( Fornisce l'accesso per creare nuovi progetti. Una volta creato un progetto, viene concesso automaticamente all'utente il ruolo di proprietario del progetto. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Autore eliminazione progetto( Fornisce l'accesso per eliminare i progetti Google Cloud. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Autore spostamento progetto( Fornisce l'accesso per aggiornare e spostare i progetti. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Amministratore IAM progetto( Fornisce le autorizzazioni per amministrare le norme consentite nei progetti. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Browser( Accesso in lettura per l'esplorazione della gerarchia di un progetto, inclusi cartella, organizzazione e criterio di autorizzazione. Il ruolo non include l'autorizzazione per la visualizzazione delle risorse di un progetto. Risorse di livello più basso in cui puoi concedere questo ruolo:
|
|
Ruoli di base
Evita di utilizzare i ruoli di base, tranne quando assolutamente necessario. Questi ruoli sono molto potenti e includono un numero elevato di autorizzazioni per tutti i servizi Google Cloud. Per maggiori dettagli su quando utilizzare i ruoli di base, consulta Ruoli di base.
Ruolo | Descrizione | Autorizzazioni |
---|---|---|
roles/owner |
Accesso completo a tutte le risorse. | Tutte le autorizzazioni per tutte le risorse. |
roles/editor |
Accesso in modifica alla maggior parte delle risorse. | Crea e aggiorna l'accesso per la maggior parte delle risorse. |
roles/viewer |
Accesso in lettura alla maggior parte delle risorse. | Accesso per recuperare ed elencare la maggior parte delle risorse. |
Creazione di ruoli personalizzati
Oltre ai ruoli predefiniti descritti in questo argomento, puoi anche creare ruoli personalizzati, ovvero raccolte di autorizzazioni che puoi personalizzare in base alle tue esigenze. Quando crei un ruolo personalizzato da utilizzare con Resource Manager, tieni presente quanto segue:- Le autorizzazioni di elenco e di acquisizione, come
resourcemanager.projects.get/list
, devono sempre essere concesse in coppia. - Se il ruolo personalizzato include le autorizzazioni
folders.list
efolders.get
, deve includere ancheprojects.list
eprojects.get
. - Tieni presente che l'autorizzazione
setIamPolicy
per le risorse dell'organizzazione, della cartella e del progetto consente all'utente di concedere tutte le altre autorizzazioni, pertanto deve essere assegnata con attenzione.
Controllo dell'accesso a livello di progetto
Puoi concedere i ruoli agli utenti a livello di progetto utilizzando la console Google Cloud, l'API Cloud Resource Manager e Google Cloud CLI. Per istruzioni, consulta Concedere, modificare e revocare l'accesso.
Ruoli predefiniti
Quando crei un progetto, ti viene assegnato il ruolo roles/owner per il progetto per consentirti di avere il controllo completo in qualità di autore. Questo ruolo predefinito può essere modificato normalmente in un criterio IAM.
Controlli di servizio VPC
Controlli di servizio VPC può fornire una maggiore sicurezza quando utilizzi l'API Cloud Resource Manager. Per scoprire di più su VPC Service Controls, consulta la panoramica dei Controlli di servizio VPC.
Per informazioni sulle limitazioni attuali nell'utilizzo di Resource Manager con i Controlli di servizio VPC, consulta la pagina Prodotti supportati e limitazioni.