Utilizza le condizioni IAM

Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso basato su attributi delle risorse Google Cloud, incluse le istanze Cloud SQL. Per ulteriori informazioni informazioni sulle condizioni IAM, consulta Panoramica di Condizioni IAM.

Introduzione

In Cloud SQL, puoi applicare l'accesso condizionale in base a quanto segue: attributi:

  • Attributi data/ora: utilizzati per impostare dati temporanei (in scadenza), pianificati alle risorse Cloud SQL per una durata limitata. Ad esempio, puoi Consentire a un utente di accedere a un'istanza di database fino a una data specificata. Puoi utilizzare attributi data/ora a qualsiasi livello della gerarchia delle risorse. Per ulteriori informazioni informazioni, consulta Configurazione dell'accesso temporaneo.
  • Attributi della risorsa: utilizzati per configurare l'accesso condizionale in base a un tag, il nome della risorsa, il tipo o l'attributo del servizio delle risorse. Nel Cloud SQL, puoi utilizzare gli attributi delle istanze di database e configurare l'accesso condizionale. Ad esempio, puoi consentire a un utente di accedere di Compute Engine con un tag specifico. Per ulteriori informazioni, vedi Configurazione dell'accesso basato sulle risorse

I casi d'uso includono:

  • Consente agli utenti di connettersi a istanze specifiche.

  • Consentire agli utenti di creare istanze con prefissi o suffissi specifici (ad esempio "test").

  • Limitazione dell'accesso alle operazioni di backup per le istanze di test

  • Consente agli utenti di eliminare le istanze di sviluppo e test, ma non di produzione di Compute Engine.

  • Consentire agli utenti di eseguire operazioni amministrative in determinate date o in determinati momenti.

Consenti agli utenti di connettersi a istanze specifiche

Supponiamo di voler concedere a un account utente o di servizio l'autorizzazione connettersi a una sola istanza Cloud SQL specifica. Puoi includere un Condizione IAM nell'associazione dei criteri IAM che concede all'account le autorizzazioni di un ruolo Cloud SQL.

Per impostazione predefinita, il ruolo Client Cloud SQL predefinito (roles/cloudsql.client), che contiene cloudsql.instances.connect autorizza il membro a connettersi a tutte le istanze Cloud SQL di un progetto. Introducendo un ruolo IAM indispensabile nell'associazione dei criteri, puoi concedere l'autorizzazione solo alle in esecuzione in un'istanza Compute Engine.

Console

Questo esempio mostra come modificare le impostazioni IAM esistenti associazione del progetto per assegnare a un account di servizio il ruolo Client Cloud SQL per un'istanza specifica.

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo progetto Google Cloud.
  • INSTANCE_ID: il nome dell'istanza che vuoi concedere a cui accedono.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Aggiungi.
  3. Nella casella di immissione Nuovi membri, inserisci l'indirizzo email dell'account di servizio.
  4. Fai clic sull'elenco a discesa Ruolo e seleziona il client Cloud SQL. ruolo.
  5. Fai clic su Aggiungi condizione.
  6. Inserisci un titolo e una descrizione.
  7. Seleziona la scheda Editor condizioni.
  8. Nella sezione Generatore di condizioni:
      .
    • In Tipo di condizione - Risorsa - Nome, inserisci projects/PROJECT_ID/instances/INSTANCE_ID.
    • Assicurati che sia selezionata la condizione AND.
    • In Tipo di condizione - Risorsa - Servizio, seleziona sqladmin.googleapis.com.
  9. Fai clic su Salva per salvare la condizione.
  10. Fai clic su Salva per salvare il criterio.

gcloud

Questo esempio mostra come modificare il criterio IAM esistente associazione del progetto per assegnare a un account di servizio specifico ma solo per un'istanza specifica.

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo progetto Google Cloud.
  • INSTANCE_ID: il nome dell'istanza che vuoi concedere a cui accedono.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email completo del account di servizio di cui vuoi modificare l'accesso.

  1. Ottieni le associazioni di criteri IAM esistenti e inviale nel file bindings.json:
    2. gcloud projects get-iam-policy PROJECT_ID --format=json > bindings.json
  2. Aggiungi la seguente associazione di ruolo condizionale al file bindings.json: 
    {
  "bindings": [
    {
      "role": "roles/cloudsql.client",
      "members": [
        "serviceAccount:SERVICE_ACCOUNT_EMAIL"
      ],
      "condition": {
        "expression": "resource.name == 'projects/PROJECT_ID/instances/INSTANCE_ID'
          && resource.service == 'sqladmin.googleapis.com'"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}
  3. Aggiorna il criterio IAM con il nuovo file bindings.json. 
    gcloud projects set-iam-policy PROJECT_ID bindings.json

Terraform

Per consentire agli utenti di connettersi a istanze specifiche, usa una risorsa di dati google_iam_policy Terraform e un google_project_iam_policy. Risorsa Terraform. 

data "google_iam_policy" "sql_iam_policy" {
  binding {
    role = "roles/cloudsql.client"
    members = [
      "serviceAccount:${google_project_service_identity.gcp_sa_cloud_sql.email}",
    ]
    condition {
      expression  = "resource.name == 'projects/${data.google_project.project.project_id}/instances/${google_sql_database_instance.default.name}' && resource.type == 'sqladmin.googleapis.com/Instance'"
      title       = "created"
      description = "Cloud SQL instance creation"
    }
  }
}

resource "google_project_iam_policy" "project" {
  project     = data.google_project.project.project_id
  policy_data = data.google_iam_policy.sql_iam_policy.policy_data
}

Applica le modifiche

Per applicare la configurazione Terraform a un progetto Google Cloud, completa i passaggi nella le sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito dove vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti in Terraform di configurazione del deployment.

Prepara la directory

Ogni file di configurazione Terraform deve avere una directory (inoltre chiamato modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome del file deve contenere .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Facoltativamente, copia il codice da GitHub. Opzione consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory. 
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade : 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o che l'aggiornamento soddisfi le tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta: 
    terraform apply

    Attendi finché Terraform non visualizzi il messaggio "Applicazione completata!". .

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, nel file di configurazione Terraform imposta la classe Argomento deletion_protection per false. 
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il comando seguente inserendo yes alla richiesta: 
    terraform apply

  1. Rimuovi le risorse applicate in precedenza con la tua configurazione Terraform eseguendo questo comando e inserendo yes al prompt:

    terraform destroy

Limita l'accesso alle operazioni di backup per le istanze di test

Supponiamo che la topologia del tuo servizio sia configurata in modo che tutte le istanze di test abbiano un prefisso di test (ad esempio, test-instance-1) e che tutte le istanze di produzione abbiano un prefisso di prod (ad esempio, prod-instance-1).

Puoi limitare l'accesso alle operazioni di backup alle istanze di test per un account utente o di servizio. La limitazione dell'accesso include la limitazione delle operazioni CREATE, GET, LIST o DELETE ai backup per le istanze di test.

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Fai clic sulla scheda PRINCIPALI.
  3. Individua l'indirizzo email o l'account di servizio (entità) dell'utente a cui vuoi limitare l'accesso.
  4. Fai clic sull'icona Modifica entità a destra dell'entità. Questa icona ha l'aspetto di una matita.
  5. Nella finestra di dialogo Modifica autorizzazioni, fai clic su AGGIUNGI UN ALTRO RUOLO.

  6. Nel campo Filtro della finestra di dialogo successiva, inserisci Cloud SQL Admin. Quindi, seleziona il ruolo Amministratore Cloud SQL che viene visualizzato.

    La finestra di dialogo Modifica autorizzazioni è attiva e il ruolo Amministratore Cloud SQL ora viene visualizzato nella finestra di dialogo.

  7. A destra del ruolo Amministratore Cloud SQL, fai clic sul link Aggiungi condizione.
  8. Nella finestra di dialogo Modifica condizione, inserisci le seguenti informazioni:
      .
    1. Nel campo Titolo, inserisci un nome per la condizione che stai aggiungendo per limitare l'accesso alle operazioni di backup per le istanze di test. Ad esempio, puoi inserire Limit access to backup operations.

    2. Fai clic sulla scheda EDITOR DI CONDIZIONI, quindi aggiungi la seguente condizione:

      resource.type == "sqladmin.googleapis.com/BackupRun" && 
resource.name.startsWith("projects/PROJECT_ID/instances/test")

  9. Fai clic su SALVA.
  10. Nella finestra di dialogo Modifica autorizzazioni, fai clic su SALVA.

gcloud

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo progetto Google Cloud.
  • USER_EMAIL: l'indirizzo email dell'utente.
  • SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo del account di servizio di cui vuoi limitare l'accesso.

  1. Limita l'ambito del ruolo cloudsql.admin per un utente con indirizzo email USER_EMAIL.

    L'ambito del ruolo è limitato alle risorse i cui nomi iniziano con projects/PROJECT_ID/instances/test. 

    gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:USER_EMAIL \
--role=roles/cloudsql.admin \
--condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"

    2. OR

  2. Limita l'ambito del ruolo cloudsql.admin per un utente che ha eseguito l'accesso con un account di servizio SERVICE_ACCOUNT_EMAIL.

    gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_EMAIL \
--role=roles/cloudsql.admin \
--condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"

Consenti agli utenti di eliminare le istanze di test, ma non le istanze di produzione

Supponiamo di voler consentire a un account di servizio di eliminare il test ma non quelle di produzione. Cosa puoi fare utilizzando i tag e aggiungendo le due associazioni di criteri seguenti per l'account di servizio:

  • Un ruolo Editor Cloud SQL per la risorsa in cui hai concesso la e i relativi discendenti. Se concesso a livello di progetto, il ruolo si applica a tutti delle istanze del progetto. Ruolo di Editor Cloud SQL non contiene l'autorizzazione cloudsql.instances.delete.
  • Un ruolo Amministratore Cloud SQL per le istanze con il tag test.

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Aggiungi.
  3. Nel campo Nuovi membri, inserisci l'indirizzo email dell'account di servizio.
  4. Fai clic sull'elenco a discesa Ruolo e seleziona l'Editor Cloud SQL. ruolo. Non aggiungere altro per questo ruolo.
  5. Fai clic su Salva per salvare la condizione.
  6. Fai clic sul menu Ruolo per lo stesso account e seleziona il ruolo Amministratore Cloud SQL.
  7. Fai clic su Aggiungi condizione.
  8. Inserisci un titolo e una descrizione.
  9. Seleziona la scheda Editor condizioni.
  10. Nella sezione Generatore di condizioni:
      .
    • In Tipo di condizione - Risorsa - Nome, inserisci un nome per la condizione.
    • In Tipo di condizione - Risorsa - Servizio, seleziona sqladmin.googleapis.com.
    • In Tipo di condizione - Risorsa - Tag, inserisci lo spazio dei nomi della chiave tag . Per questo esempio, L'operatore è matches e il valore è 815471563813/env/test.
  11. Fai clic su Salva per salvare la condizione.
  12. Fai clic su Salva per salvare il criterio.

gcloud

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo progetto Google Cloud.
  • INSTANCE_ID: la tua istanza Cloud SQL.
  • REGION: la regione in cui si trova l'istanza Cloud SQL.
  • ORGANIZATION_ID: l'ID dell'organizzazione principale a questa chiave tag; Ad esempio: 12345678901. Per scoprire come ottenere l'ID della tua organizzazione, vedi Creare e gestire le organizzazioni.
  • SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo del account di servizio di cui vuoi modificare l'accesso.

  1. Crea una chiave tag denominata "env" con i valori tag "prod" e "test". Per ulteriori informazioni informazioni, consulta Creazione e definizione di un nuovo tag. 
    gcloud alpha resource-manager tags keys create env \
--parent=organizations/ORGANIZATION_ID
gcloud alpha resource-manager tags values create prod \
--parent=env
gcloud alpha resource-manager tags values create test \
--parent=env
  2. Collega il tag "env" con il valore "test" al tuo ambiente di test le istanze di Cloud SQL. Per ulteriori informazioni, consulta Tag Cloud SQL.
    3. gcloud alpha resource-manager tags bindings create \
--tag-value=test \
--parent=//sqladmin.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID \
--location=REGION
  3. Ottieni le associazioni di criteri IAM esistenti e inviale nel file bindings.json: 
    gcloud projects get-iam-policy PROJECT_ID --format=json >> bindings.json
  4. Aggiungi le seguenti associazioni condizionali al file bindings.json: 
    {
  "bindings": [
    {
      "role": "roles/cloudsql.editor",
      "members": [
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ]
    },
    {
      "role": "roles/cloudsql.admin",
      "members": [
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ],
      "condition": {
        "expression": "resource.matchTag('ORGANIZATION_ID/env', 'test')"
      }
    }
  ],
  "etag": "BwWKmjvelug="
  "version": 3
}
  5. Aggiorna le associazioni dei criteri IAM con il nuovo file bindings.json. 
    gcloud projects set-iam-policy PROJECT_ID bindings.json