Questa pagina è stata tradotta dall'API Cloud Translation.

Concedere agli utenti l'accesso all'istanza

Questa pagina descrive come concedere ai tuoi utenti l'accesso alla tua istanza Secure Source Manager utilizzando Identity and Access Management (IAM). Per maggiori dettagli sul controllo dell'accesso dell'accesso in Secure Source Manager, vedi Controllo dell'accesso con IAM

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per concedere agli utenti l'accesso all'istanza, chiedi all'amministratore di concederti il ruolo IAM Proprietario istanza Secure Source Manager (roles/securesourcemanager.instanceOwner) nell'istanza Secure Source Manager. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per informazioni sulla concessione dei ruoli Secure Source Manager, consulta Controllo dell'accesso con IAM.

Concedere l'accesso agli utenti della federazione delle identità per la forza lavoro

Se utilizzi la federazione delle identità per la forza lavoro per accedere a Secure Source Manager, i principal sono rappresentati in modo diverso. Per scoprire di più su come concedere l'accesso ai principal che rappresentano gruppi di identità, consulta Rappresenta gli utenti del pool di forza lavoro nelle policy IAM.

Ad esempio, il seguente comando concede all'utente user@example.com il ruolo Instance Accessor (roles/securesourcemanager.instanceAccessor) nel pool di forza lavoro my-pool sull'istanza my-instance nel progetto my-project nella regione us-central1:

  gcloud beta source-manager instances add-iam-policy-binding my-instance \
      --project=my-project \
      --region=us-central1 \
      --member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
      --role=roles/securesourcemanager.instanceAccessor

Puoi concedere l'accesso a utenti o gruppi all'interno del pool di identità della forza lavoro in base agli attributi del provider di identità (IdP) oppure utilizzare il Common Expression Language (CEL) per mappare gli attributi OIDC agli attributi personalizzati per definire una strategia di autorizzazione nel criterio IAM. Per ulteriori informazioni sulle mappature degli attributi, leggi Mappature degli attributi.

Concedere l'accesso a un singolo utente

Per concedere a un singolo utente l'accesso all'istanza, utilizza il seguente comando Google Cloud CLI:

  gcloud beta source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --member=PRINCIPAL_IDENTIFIER \
      --role=roles/securesourcemanager.instanceAccessor

Sostituisci quanto segue:

INSTANCE_ID con l'ID istanza.
PROJECT_ID con l'ID o il numero di progetto dell'istanza.
REGION con la regione in cui si trova l'istanza. Consulta la documentazione sulle località per le regioni Secure Source Manager disponibili.
PRINCIPAL_IDENTIFIER con l'identificatore dell'entità a cui vuoi concedere il ruolo.

Ad esempio, per concedere il ruolo a un singolo utente con il suo indirizzo email, devi formattare l'identificatore dell'entità come user:EMAIL, dove EMAIL è l'indirizzo email dell'utente.

Per ulteriori informazioni sugli identificatori delle entità supportati, vedi Identificatori delle entità.

Ad esempio, il seguente comando concede all'utente trusted-user1@gmail.com il ruolo roles/securesourcemanager.instanceAccessor sull'istanza my-instance, nel progetto my-project nella regione us-central.

  gcloud beta source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=my-project \
      --region=us-central1 \
      --member=user:trusted-user1@gmail.com \
      --role=roles/securesourcemanager.instanceAccessor

Concedere l'accesso a più utenti

Crea un gruppo Google di tutti gli utenti che devono accedere alla tua istanza. Il gruppo può essere un gruppo specifico del dominio.

Ti consigliamo di creare un gruppo ampio che includa tutti i potenziali utenti, ad esempio tutti gli sviluppatori e le persone che potrebbero segnalare problemi nella tua azienda. Gli utenti devono far parte di questo gruppo per accedere o creare risorse in un'istanza di Secure Source Manager, inclusi repository e problemi.

Se questo gruppo è ampio, i responsabili del team possono gestire i ruoli utente a livello di istanza e di repository senza dover gestire anche l'appartenenza al gruppo.

Nota: l'accesso ai repository richiede autorizzazioni aggiuntive.
Per leggere la policy di autorizzazione corrente e salvarla in /tmp/instances.json, esegui questo comando:
```
  gcloud beta source-manager instances get-iam-policy INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --format=json > /tmp/instance.json
```
Sostituisci quanto segue:
- INSTANCE_ID con l'ID istanza.
- PROJECT_ID con l'ID o il numero del progetto dell'istanza.
- REGION con la regione in cui si trova l'istanza. Consulta la documentazione sulle località per le regioni Secure Source Manager disponibili.
L'output includerà eventuali binding esistenti o, se non ne esistono, il valore etag simile al seguente:
```
{
    "etag": "BwUjHYKJUiQ="
}
```
Importante: conserva il valore etag della risposta per evitare di sovrascrivere le modifiche alle norme di qualcun altro. Se vuoi sovrascrivere tutte le altre modifiche, puoi rimuovere il valore etag.
Modifica il file JSON /tmp/instance.json per concedere ai tuoi gruppi i seguenti ruoli:
- Ruolo Accessore istanza (roles/securesourcemanager.instanceAccessor) per gli utenti che devono visualizzare l'istanza, ma non creare o modificare i repository.
- Ruolo Creatore repository istanze (roles/securesourcemanager.instanceRepositoryCreator) per gli utenti che devono creare e modificare i repository.
- Ruolo Proprietario istanza (roles/securesourcemanager.instanceOwner) per gli utenti che gestiranno la tua istanza.
Attenzione: il ruolo Proprietario dell'istanza include la possibilità di eliminare l'istanza e tutti i relativi repository e altri contenuti.

I seguenti criteri di esempio concedono il ruolo roles/securesourcemanager.instanceRepositoryCreator al gruppo your-group@gmail.com e concedono agli utenti trusted-user1@gmail.com e trusted-user2@gmail.com il ruolo roles/securesourcemanager.instanceOwner.
```
{
  "etag": "ETAG",
  "bindings": [
    {
      "role": "roles/securesourcemanager.instanceRepositoryCreator",
      "members": [
        "group:GROUP_EMAIL"
      ]
    },
    {
      "role": "roles/securesourcemanager.instanceOwner",
      "members": [
        "user:USER_EMAIL_1",
        "user:USER_EMAIL_2"
      ]
    }
  ]
}
```
Sostituisci quanto segue:
- ETAG con il valore etag della risposta getIamPolicy, in questo caso BwUjHYKJUiQ=
- GROUP_EMAIL con l'indirizzo email del tuo gruppo Google.
- USER_EMAIL_1 e USER_EMAIL_2 con gli indirizzi email degli utenti a cui vuoi concedere il ruolo Proprietario istanza.
Salva il file /tmp/instance.json modificato.

Importante: nessuna delle modifiche apportate avrà effetto finché non imposti il criterio di autorizzazione aggiornato.
Dopo aver modificato il criterio di autorizzazione salvato per concedere e revocare i ruoli desiderati, aggiorna il criterio di autorizzazione dell'istanza eseguendo il seguente comando:

Avviso: l'impostazione di una nuova policy di autorizzazione sovrascrive in modo permanente la policy di autorizzazione esistente sulla risorsa. Per evitare di rimuovere involontariamente le associazioni di ruoli, segui sempre il pattern read-modify-write quando aggiorni un criterio di autorizzazione: leggi il criterio di autorizzazione esistente, modificalo in base alle esigenze e poi scrivi la versione aggiornata del criterio di autorizzazione.
```
gcloud beta source-manager instances set-iam-policy INSTANCE_ID  \
    --project=PROJECT_ID \
    --region=REGION \
    /tmp/instance.json
```
Sostituisci quanto segue:
- INSTANCE_ID con l'ID istanza.
- PROJECT_ID con l'ID o il numero del progetto dell'istanza.
- REGION con la regione in cui si trova l'istanza. Consulta la documentazione sulle località per le regioni Secure Source Manager disponibili.

Passaggi successivi

Concedi agli utenti l'accesso al repository.
Scopri di più sul controllo dell'accesso con IAM.
Crea un repository.
Concedi e revoca i ruoli IAM.