Protezione dei progetti con blocchi

Questo documento è rivolto ai proprietari di progetti e agli amministratori dell'organizzazione che vogliono aggiungere protezioni contro l'eliminazione dei progetti.

Puoi applicare un blocco a un progetto per impedirne l'eliminazione finché non lo rimuovi. Questa opzione può essere utile per proteggere progetti di particolare importanza.

I pignoramenti possono essere applicati automaticamente a un progetto. Ad esempio, se consenti di collegare gli account di servizio Identity and Access Management (IAM) di un progetto alle risorse di altri progetti, viene applicato un blocco al progetto in cui si trovano gli account di servizio.

Prima di iniziare

Gcloud CLI è il modo più semplice per interagire con i link ai progetti. Se non l'hai installato, puoi utilizzare Google Cloud Shell.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per modificare i pignoramenti, chiedi all'amministratore di concederti il ruolo IAM Modificatore di pignoramenti del progetto (roles/resourcemanager.lienModifier) nei progetti. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per modificare i pignoramenti. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per modificare i pignoramenti sono necessarie le seguenti autorizzazioni:

  • resourcemanager.projects.updateLiens
  • Elenca i pignoramenti su un progetto: resourcemanager.projects.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Impostare un blocco su un progetto

Per applicare un blocco a un progetto, utilizza il comando alpha resource-manager liens create.

gcloud alpha resource-manager liens create \
  --project=[PROJECT_ID] \
  --restrictions=[PERMISSION_RESTRICTION] \
  --reason=[LIEN_REASON] \
  --origin=[LIEN_ORIGIN]

Sostituisci quanto segue:

  • [PROJECT_ID]: ID del progetto a cui si applica il blocco.
  • [PERMISSION_RESTRICTION]: elenco separato da virgole delle autorizzazioni IAM da bloccare. L'unica limitazione valida per un progetto è resourcemanager.projects.delete.
  • [LIEN_REASON]: descrizione leggibile del motivo per cui esiste questo blocco. Inserisci questa descrizione tra virgolette doppie. Esempio: "This project is protected by a lien".
  • [LIEN_ORIGIN]: stringa che indica l'utente o il sistema che ha generato il blocco. È un campo obbligatorio, ma se omesso viene compilato automaticamente con l'indirizzo email dell'utente.

Elenco dei pignoramenti su un progetto

Per elencare tutti i vincoli applicati a un progetto, utilizza il comando alpha resource-manager liens list.

gcloud alpha resource-manager liens list

L'output è simile al seguente:

gcloud alpha resource-manager liens list
NAME                                                  ORIGIN            REASON
p1061081023732-l3d8032b3-ea2c-4683-ad48-5ca23ddd00e7  user@example.com  testing

Rimozione di ipoteche da un progetto

Per rimuovere un blocco da un progetto, utilizza il comando alpha resource-manager liens delete.

gcloud alpha resource-manager liens delete [LIEN_NAME]

Sostituisci [LIEN_NAME] con il nome del blocco da eliminare, ad esempio p1061081023732-l3d8032b3-ea2c-4683-ad48-5ca23ddd00e7.

Riferimenti

Riferimento API: Risorsa REST: liens