Controllo dell'accesso con IAM

Questa pagina spiega come concedere e gestire l'accesso a Service Catalog utilizzando Identity and Access Management (IAM).

Prima di iniziare

Che cos'è Identity and Access Management (IAM)?

Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.

IAM consente di controllare chi (identità) ha quali (ruoli) autorizzazioni per quali risorse impostando i criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un'entità, assegnando all'identità determinate autorizzazioni.

Ad esempio, per una determinata risorsa, ad esempio un progetto, puoi assegnare il ruolo roles/compute.networkAdmin a un Account Google, che può controllare le risorse di rete nel progetto, ma non può gestire altre risorse, come istanze e dischi.

Ruoli IAM di Service Catalog

Con IAM, ogni metodo dell'API Service Catalog e dell'API Service Catalog Producer richiede che l'identità che effettua la richiesta dell'API disponga delle autorizzazioni appropriate per utilizzare la risorsa. Le autorizzazioni vengono concesse impostando criteri che concedono ruoli a un'entità, ad esempio un utente, un gruppo o un account di servizio. Oltre ai ruoli di base, Proprietario, Editor e Visualizzatore, puoi assegnare ai principali i ruoli Service Catalog e Producer del Catalogo dei servizi descritti in questa pagina.

Le tabelle riportate di seguito elencano i ruoli IAM disponibili per gli utenti di Service Catalog. Le tabelle sono organizzate in diversi ruoli.

Catalog Org Admin

Nome del ruolo Descrizione Include le autorizzazioni
roles/cloudprivatecatalogproducer.orgAdmin

Gestisce le impostazioni del Catalogo di servizi a livello di Google Cloud l'organizzazione. Crea e gestisce le risorse del catalogo dei servizi, ad esempio soluzioni e cataloghi.
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Admin

Nome del ruolo Descrizione Include le autorizzazioni
roles/cloudprivatecatalogproducer.admin

Crea e gestisce le risorse di Service Catalog, ad esempio soluzioni e cataloghi.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Manager

Nome del ruolo Descrizione Include le autorizzazioni
roles/cloudprivatecatalogproducer.manager

Visualizza soluzioni e cataloghi e condivide i cataloghi con gli utenti del catalogo dei servizi.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Consumer

Nome del ruolo Descrizione Include le autorizzazioni
roles/cloudprivatecatalog.consumer Sfoglia i cataloghi. Visualizza e avvia soluzioni. Opera in una risorsa Google Cloud di destinazione, ad esempio un'organizzazione, un progetto o una cartella.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Aggiunta di utenti ai ruoli IAM di Service Catalog

Gli utenti, i gruppi Google o i domini devono disporre dell'autorizzazione resourcemanager.organizations.setIamPolicy per l'organizzazione per aggiungere utenti ai ruoli IAM del Catalogo dei servizi. Puoi concedere questa autorizzazione a un utente o a un gruppo concedendogli il ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin).

Ad esempio, se la tua organizzazione vuole che gli utenti a cui è stato assegnato il ruolo Amministratore catalogo possano anche aggiungere e rimuovere utenti e gruppi dagli altri ruoli IAM di Service Catalog, un amministratore dell'organizzazione può eseguire le seguenti operazioni:

  • Crea un gruppo Google per gli utenti (MyCompanyCatalogAdmins).
  • Assegna al gruppo Google (MyCompanyCatalogAdmins) il ruolo di amministratore dell'organizzazione.
  • Assegna al gruppo Google (MyCompanyCatalogAdmins) il ruolo Amministratore del catalogo.

Nell'esempio, i membri del gruppo Google (MyCompanyCatalogAdmins) possono assegnare utenti e gruppi ai ruoli IAM nell'organizzazione perché al gruppo è stata concessa l'autorizzazione setIamPolicy quando è stato concesso il ruolo Amministratore dell'organizzazione. Quando nuovi amministratori del catalogo si uniscono all'organizzazione, aggiungili al gruppo Google (MyCompanyCatalogAdmins) per concedergli i ruoli desiderati.

Per aggiungere un utente, un gruppo o un dominio a un ruolo IAM di Service Catalog:

  1. Accedi alla pagina IAM e amministrazione della console Google Cloud come amministratore dell'organizzazione.
    Vai alla pagina IAM e amministrazione della console Google Cloud
  2. Seleziona Catalogo privato cloud dal menu laterale.
  3. Seleziona il ruolo da assegnare:
    • Catalog Admin
    • Catalog Manager
    • Catalog Consumer
  4. Specifica gli utenti, i gruppi o i domini da aggiungere.

Passaggi successivi