La condivisione limitata per i domini ti consente di limitare la condivisione delle risorse in base a un dominio o a una risorsa dell'organizzazione. Quando la condivisione con restrizioni al dominio è attiva, solo i principali appartenente a organizzazioni o domini consentiti possono ricevere ruoli IAM nella tua organizzazione Google Cloud .
Esistono tre tipi di criteri dell'organizzazione che puoi utilizzare per limitare le identità in base al dominio:
- Criteri dell'organizzazione personalizzati che fanno riferimento alla risorsa
iam.googleapis.com/AllowPolicy - Il vincolo gestito
iam.managed.allowedPolicyMembers - Il vincolo predefinito
iam.allowedPolicyMemberDomains
Prima di iniziare
Scegli il metodo da utilizzare per implementare la condivisione limitata per i domini. Per approfondire i vantaggi e gli svantaggi di ciascun metodo, consulta Metodi per limitare la condivisione per dominio.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per applicare la condivisione con restrizioni del dominio,
chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Utilizzare criteri dell'organizzazione personalizzati per implementare la condivisione limitata per i domini
Crea un vincolo personalizzato che limiti le entità a cui possono essere concessi ruoli nella tua organizzazione:
Utilizza la
memberInPrincipalSetfunzione CEL con il principale dell'organizzazione impostato per limitare le concessioni dei ruoli ai membri dell'organizzazione. Per scoprire come trovare l'ID della tua organizzazione, consulta Recupero di un ID risorsa dell'organizzazione.Ad esempio, il seguente vincolo limita le concessioni dei ruoli ai membri della tua organizzazione:
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID']) ) )" actionType: ALLOW displayName: Only allow organization members to be granted rolesSe vuoi, perfeziona il vincolo aggiungendo altre funzioni CEL, unite con operatori logici (
&&,||o!). Puoi aggiungere una delle seguenti funzioni:Ad esempio, la seguente limitazione impedisce la concessione dei ruoli ai membri della tua organizzazione e a
admin@example.com:name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, ( MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID']) || MemberSubjectMatches(member, ['user:admin@example.com']) ) ) )" actionType: ALLOW displayName: Only allow organization members and service agents to be granted roles
Configura il vincolo personalizzato:
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comandogcloud org-policies set-custom-constraint:gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATHcon il percorso completo del file delle limitazioni personalizzate. Ad esempio:/home/user/customconstraint.yaml. Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione nel tuo elenco di criteri dell'organizzazione Google Cloud . Per verificare che la limitazione personalizzata esista, utilizza il comandogcloud org-policies list-custom-constraints:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_IDcon l'ID della risorsa della tua organizzazione. Per ulteriori informazioni, consulta Visualizzare i criteri dell'organizzazione.Applica il criterio dell'organizzazione personalizzato:
Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una risorsa Google Cloud .Console
- Nella console Google Cloud , vai alla pagina Norme dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
- Nell'elenco della pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criteri relativa al vincolo in questione.
- Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
- Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione è attivata o disattivata.
- (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
- Se si tratta di un vincolo personalizzato, puoi fare clic su Prova modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
- Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio può richiedere fino a 15 minuti.
gcloud
Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
-
PROJECT_ID: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME: il nome del vincolo da applicare. Ad esempio,compute.disableAllIpv6.
Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci
POLICY_PATHcon il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio può richiedere fino a 15 minuti.
Utilizzare il vincolo iam.managed.allowedPolicyMembers per implementare la condivisione limitata per i domini
Console
Nella console Google Cloud , vai alla pagina Norme dell'organizzazione.
Nel selettore di progetti, seleziona il progetto, la cartella o l'organizzazione per cui vuoi modificare il criterio dell'organizzazione. Nella pagina Criteri dell'organizzazione visualizzata viene visualizzato un elenco filtrabile dei vincoli dei criteri dell'organizzazione disponibili per questa risorsa.
Nell'elenco, seleziona il vincolo gestito Limita i membri dei criteri consentiti nei criteri di autorizzazione IAM.
Nella pagina Dettagli norme, fai clic su Gestisci norme.
Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
Seleziona Aggiungi una regola e poi aggiorna la regola del criterio dell'organizzazione:
In Applicazione forzata, seleziona On.
Facoltativamente, per rendere la norma dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.
Nella sezione Parametri, configura i set di membri e entità a cui deve essere possibile assegnare ruoli nella tua organizzazione, quindi fai clic su Salva.
(Facoltativo) Per visualizzare l'anteprima dell'effetto della modifica del criterio dell'organizzazione prima che venga applicata, fai clic su Verifica modifiche. Per ulteriori informazioni su come testare le modifiche alle norme dell'organizzazione, consulta Testare le modifiche alle norme dell'organizzazione con Policy Simulator.
Per applicare il criterio dell'organizzazione in modalità di prova, fai clic su Imposta criterio dry run. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.
Dopo aver verificato che il criterio dell'organizzazione in modalità di prova funzioni come previsto, imposta il criterio attivo facendo clic su Imposta criterio.
gcloud
Crea un file YAML per definire il criterio dell'organizzazione:
name: organizations/ORG_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true - parameters: allowedMemberSubjects: - ALLOWED_MEMBER_1 - ALLOWED_MEMBER_2 allowedPrincipalSets: - ALLOWED_PRINCIPAL_SET_1 - ALLOWED_PRINCIPAL_SET_2Sostituisci quanto segue:
ORG_ID: l'ID numerico della tua organizzazione Google Cloud.CONSTRAINT_NAME: il nome della limitazione che vuoi impostare.ALLOWED_MEMBER_1,ALLOWED_MEMBER_2: i membri che devono essere in grado di ricevere i ruoli nella tua organizzazione. Ad esempio,user:example-user@example.com.ALLOWED_PRINCIPAL_SET_1,ALLOWED_PRINCIPAL_SET_2: i set di principali a cui è possibile assegnare ruoli nella tua organizzazione. Ad esempio,//cloudresourcemanager.googleapis.com/organizations/0123456789012.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco
conditionarules. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.Imposta la policy con il comando
org-policies set-policye il flagspec:gcloud org-policies set-policy POLICY_PATH \ --update-mask=specSostituisci
POLICY_PATHcon il percorso completo del file YAML del criterio dell'organizzazione.
Per scoprire come testare il criterio in modalità di prova prima di applicarlo, consulta Creare un criterio dell'organizzazione in modalità di prova.
Per scoprire come simulare il criterio prima di applicarlo, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
REST
Per impostare il criterio dell'organizzazione, utilizza il metodo
organizations.policies.create.
POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies
Il corpo JSON della richiesta contiene la definizione di un criterio dell'organizzazione.
Se questo vincolo non supporta i parametri, ometti il blocco parameters
sotto rules.
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"enforce": true,
"parameters": {
"allowedMemberSubjects": [
"ALLOWED_MEMBER_1",
"ALLOWED_MEMBER_2"
],
"allowedPrincipalSets": [
"ALLOWED_PRINCIPAL_SET_1",
"ALLOWED_PRINCIPAL_SET_2"
]
}
}
]
}
}
Sostituisci quanto segue:
ORG_ID: l'ID numerico della tua organizzazione Google Cloud.CONSTRAINT_NAME: il nome della limitazione che vuoi impostare.ALLOWED_MEMBER_1,ALLOWED_MEMBER_2: i membri che devono essere in grado di ricevere i ruoli nella tua organizzazione. Ad esempio,user:example-user@example.com.ALLOWED_PRINCIPAL_SET_1,ALLOWED_PRINCIPAL_SET_2: i set di principali a cui è possibile assegnare ruoli nella tua organizzazione. Ad esempio,//cloudresourcemanager.googleapis.com/organizations/0123456789012.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco condition a rules. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta
Impostazione di un criterio dell'organizzazione con tag.
Per scoprire come testare il criterio in modalità di prova prima di applicarlo, consulta Creare un criterio dell'organizzazione in modalità di prova.
Per scoprire come simulare il criterio prima di applicarlo, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator
Utilizza il vincolo iam.allowedPolicyMemberDomains per implementare la condivisione limitata per i domini
Il vincolo di limitazione del dominio è un tipo di
vincolo di elenco.
Gli ID cliente di Google Workspace e gli ID risorsa dell'organizzazione Google Cloud possono essere aggiunti e rimossi dall'elenco allowed_values di un vincolo di limitazione del dominio. Il vincolo di limitazione del dominio non supporta i valori di rifiuto
e non è possibile salvare un criterio dell'organizzazione con ID nell'elenco denied_values.
Tutti i domini associati a un account Google Workspace o a una risorsa dell'organizzazione elencati nel file allowed_values saranno consentiti dalle norme dell'organizzazione. Tutti gli altri domini verranno rifiutati dai criteri dell'organizzazione.
Puoi creare un criterio dell'organizzazione che applichi il vincolo di limitazione del dominio in base a qualsiasi risorsa inclusa nell'elenco delle risorse supportate. Ad esempio, bucket Cloud Storage, set di dati BigQuery o VM Compute Engine.
Console
Per impostare un criterio dell'organizzazione che includa un vincolo di limitazione del dominio, procedi come segue:
Nella console Google Cloud , vai alla pagina Norme dell'organizzazione.
Dal selettore di progetti, seleziona la risorsa dell'organizzazione su cui vuoi impostare il criterio dell'organizzazione.
Nella pagina Criteri organizzazione, seleziona Condivisione con restrizioni per i domini dall'elenco dei vincoli.
Nella pagina Dettagli norme, fai clic su Gestisci norme.
In Applicabile a, seleziona Ignora il criterio della risorsa padre.
Fai clic su Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci un ID risorsa organizzazione o un ID cliente Google Workspace nel campo.
L'inserimento dell'ID risorsa dell'organizzazione consente di assegnare i seguenti ruoli nella tua organizzazione:
- Tutti i pool di identità per la forza lavoro della tua organizzazione
- Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione
- Tutti gli agenti di servizio associati alle risorse della tua organizzazione.
L'inserimento dell'ID cliente Google Workspace consente di concedere i seguenti ruoli nella tua organizzazione:
- Tutte le identità in tutti i domini associati al tuo ID cliente Google Workspace
- Tutti i pool di identità per la forza lavoro della tua organizzazione
- Tutti gli account di servizio e i pool di identità per i workload in qualsiasi progetto dell'organizzazione
- Tutti gli agenti di servizio associati alle risorse della tua organizzazione.
Se vuoi aggiungere più ID, fai clic su Nuovo valore criterio per creare un altro campo.
Fai clic su Fine.
Facoltativamente, per rendere il vincolo di limitazione del dominio condizionale su un tag, fai clic su Aggiungi condizione.
Nel campo Title (Titolo), inserisci un nome per la condizione.
Nel campo Descrizione, assegna una descrizione alla condizione. La descrizione fornisce il contesto sui tag richiesti e su come influiscono sulle risorse.
Puoi utilizzare lo Strumento per la creazione di condizioni per creare una condizione che richiede un determinato tag per l'applicazione del vincolo.
Nel menu Tipo di condizione della scheda Generatore di condizioni, seleziona Tag.
Seleziona l'operatore per la condizione. Per trovare una corrispondenza con un intero tag, utilizza l'operatore matches. Per associare una chiave e un valore del tag, utilizza l'operatore corrisponde all'ID.
Se hai selezionato l'operatore corrisponde, inserisci il valore nome con spazio dei nomi del tag. Se hai selezionato l'operatore corrisponde a ID, inserisci gli ID chiave e valore.
Puoi creare più condizioni facendo clic su Aggiungi. Se aggiungi un'altra condizione, puoi impostare la logica condizionale in modo che richieda tutte le condizioni attivando/disattivando E. Puoi impostare la logica condizionale in modo che richieda che solo una delle condizioni sia vera attivando/disattivando l'opzione O.
Puoi eliminare un'espressione facendo clic sulla grande X a destra dei campi delle condizioni.
Al termine della modifica delle condizioni, fai clic su Salva.
Per applicare il criterio, fai clic su Imposta criterio.
gcloud
I criteri possono essere impostati tramite Google Cloud CLI. Per creare un criterio che includa la limitazione del dominio, esegui il seguente comando:
Per impostare un criterio dell'organizzazione che includa il vincolo di restrizione del dominio, esegui il seguente comando:
gcloud org-policies set-policy POLICY_PATH
dove POLICY_PATH è il percorso completo del file YAML delle norme dell'organizzazione, che deve avere il seguente aspetto:
name: organizations/ORGANIZATION_ID/policies/iam.allowedPolicyMemberDomains
spec:
rules:
- condition: # This condition applies to the values block.
expression: "resource.matchTag('ORGANIZATION_ID/environment', 'dev')"
values:
allowedValues:
- PRINCIPAL_SET
- values:
allowedValues:
- PRINCIPAL_SET
Sostituisci quanto segue:
- ORGANIZATION_ID con l'ID della risorsa dell'organizzazione su cui impostare questo criterio.
PRINCIPAL_SET per gli identificatori delle entità Cloud Identity che vuoi consentire, incluso l'ID risorsa dell'organizzazione. Ad esempio,
is:principalSet://iam.googleapis.com/organizations/01234567890123.Gli ID cliente Google Workspace devono essere utilizzati per tutte le altre identità che vuoi consentire. Ad esempio,
is:C03g5e3bc.
Una volta applicato questo criterio dell'organizzazione, nei criteri IAM saranno consentite solo le identità appartenenti all'ID risorsa dell'organizzazione o al dominio Google Workspace dell'elenco di allowed_values.
Gli utenti e i gruppi di persone di Google Workspace devono essere elementi secondari della risorsa dell'organizzazione o parte del dominio Google Workspace e gli account di servizio IAM devono essere elementi secondari di una risorsa dell'organizzazione associata al dominio Google Workspace specificato.
Ad esempio, se hai creato un criterio dell'organizzazione con solo l'ID cliente di Google Workspace della tua azienda, da quel momento in poi al criterio IAM potrebbero essere aggiunte solo le entità di quel dominio.
Esempio di messaggio di errore
Quando il vincolo predefinito iam.allowedPolicyMemberDomains viene violato tentando di aggiungere un'entità non inclusa nell'elenco allowed_values, l'operazione non andrà a buon fine e verrà visualizzato un messaggio di errore.
Console
gcloud
ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION: One or more users named in the policy do not belong to a permitted customer.
Recupero di un ID risorsa dell'organizzazione
Puoi recuperare l'ID risorsa della tua organizzazione utilizzando la console Google Cloud , gcloud CLI o l'API Cloud Resource Manager.
console
Per ottenere l'ID risorsa dell'organizzazione utilizzando la console Google Cloud , segui questi passaggi:
- Vai alla console Google Cloud :
- Dal selettore di progetti nella parte superiore della pagina, seleziona la risorsa della tua organizzazione.
- Sul lato destro, fai clic su Altro e poi su Impostazioni.
Nella pagina Impostazioni viene visualizzato l'ID risorsa dell'organizzazione.
gcloud
Per trovare l'ID risorsa dell'organizzazione, esegui il seguente comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
API
Per trovare l'ID risorsa dell'organizzazione utilizzando l'API Cloud Resource Manager, utilizza il metodo
organizations.search(), includendo una query per il tuo dominio. Ad esempio:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La risposta contiene i metadati della risorsa dell'organizzazione appartenente a altostrat.com, inclusi l'ID risorsa dell'organizzazione.
Dopo aver ottenuto l'ID risorsa dell'organizzazione, devi utilizzare l'identificatore corretto per l'insieme di principali che vi appartengono. Ad esempio:
principalSet://iam.googleapis.com/organizations/01234567890123
Per ulteriori informazioni sugli identificatori delle entità IAM, consulta Identificatori delle entità.
Recuperare un ID cliente Google Workspace
L'ID cliente Google Workspace utilizzato dal vincolo di limitazione del dominio può essere ottenuto in due modi:
gcloud
Il comando gcloud organizations list
puoi essere utilizzato per visualizzare tutte le organizzazioni per le quali disponi dell'autorizzazioneresourcemanager.organizations.get:
gcloud organizations list
Questo comando restituisce DISPLAY_NAME, ID (ID organizzazione) e
DIRECTORY_CUSTOMER_ID. L'ID cliente Google Workspace è DIRECTORY_CUSTOMER_ID.
API
L'API Directory di Google Workspace può essere utilizzata per recuperare un ID cliente Google Workspace.
Dopo aver eseguito l'accesso come amministratore di Google Workspace, puoi visitare la documentazione del metodo dell'API Customers: get e fare clic su Esegui. Dopo l'autorizzazione, la risposta mostrerà il tuo ID cliente.
In alternativa, puoi utilizzare un client API:
- Ottieni un token di accesso OAuth per l'ambito
https://www.googleapis.com/auth/admin.directory.customer.readonly. Esegui il seguente comando per eseguire una query sull'API Directory di Google Workspace:
curl -# -X GET "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \ -H "Authorization: Bearer $access_token" -H "Content-Type: application/json"
Questo comando restituirà una risposta JSON contenente le informazioni del cliente. L'ID cliente Google Workspace è id.
Configurare le eccezioni per la condivisione limitata per i domini
Alcuni servizi Google Cloud utilizzano account di servizio, agenti di servizio e altri account per eseguire azioni per tuo conto. La condivisione con restrizioni del dominio può impedire di concedere automaticamente a questi account i ruoli IAM di cui hanno bisogno, il che può causare il fallimento di determinate azioni.
La tabella seguente elenca le azioni in Google Cloud che potrebbero essere interessate dalla condivisione con restrizioni al dominio. Vengono inoltre elencati gli account a cui devono essere assegnati automaticamente i ruoli affinché queste azioni vengano eseguite correttamente.
Se utilizzi criteri dell'organizzazione personalizzati o il vincolo gestito iam.managed.allowedPolicyMembers per implementare la condivisione con restrizioni al dominio, valuta la possibilità di aggiungere questi account come eccezioni al vincolo di condivisione con restrizioni al dominio. Se utilizzi il
iam.allowedPolicyMemberDomains vincolo predefinito per implementare la condivisione con limitazioni del dominio, potresti dover forzare l'accesso all'account per consentire a questi account di eseguire le azioni elencate.
| Azione | Account |
|---|---|
| Collegare Google Analytics 360 a BigQuery | analytics-processing-dev@system.gserviceaccount.com |
| Condividere i dati pubblicamente | allUsers e allAuthenticatedUsers |
| Attivare il sink di log BigQuery per un account di fatturazione | bUNIQUE_ID@gcp-sa-loggingiam.gserviceaccount.com |
| Abilita l'esportazione della fatturazione in un bucket | 509219875288-kscf0cheafmf4f6tp1auij5me8qakbin@developer.gserviceaccount.com |
| Abilita il logging degli accessi allo spazio di archiviazione | cloud-storage-analytics@google.com |
| Abilita l'API Firebase |
|
| Utilizzare Pub/Sub come endpoint per un'app Google Chat | chat-api-push@system.gserviceaccount.com |
Forzare l'accesso all'account
Se devi forzare l'accesso all'account per un progetto in violazione delle limitazioni del dominio:
Rimuovi il criterio dell'organizzazione contenente il vincolo di limitazione del dominio.
Concedi all'account l'accesso al progetto.
Implementa di nuovo il criterio dell'organizzazione con il vincolo di restrizione dei domini.
In alternativa, puoi concedere l'accesso a un gruppo Google contenente gli account di servizio pertinenti:
Crea un gruppo Google all'interno del dominio consentito.
Utilizza il pannello di amministratore di Google Workspace per disattivare la limitazione del dominio per quel gruppo.
Aggiungi l'account di servizio al gruppo.
Concedi l'accesso al gruppo Google nel criterio IAM.