Ruoli e autorizzazioni

Questa pagina fornisce informazioni sui ruoli e sulle autorizzazioni di Identity and Access Management (IAM) e su come vengono utilizzati con le istanze Cloud SQL.

Introduzione

Questa pagina si concentra sugli aspetti di IAM pertinenti specificamente a Cloud SQL. Per una discussione dettagliata di IAM e delle sue funzionalità in generale, consulta Identity and Access Management. in particolare la sezione Gestire i criteri IAM. IAM consente di controllare chi ha accesso risorse nel tuo progetto Google Cloud. L'insieme di regole di accesso che applichi a una risorsa è chiamato criterio IAM. Un criterio IAM applicato al progetto definisce le azioni che gli utenti possono eseguire su tutte le risorse al suo interno.

I membri sono i "chi" di IAM. I membri possono essere singoli utenti, gruppi, domini o persino il pubblico nel suo complesso. Ai membri vengono assegnati ruoli, che consentono loro di eseguire azioni in Cloud SQL e in Google Cloud in generale. Ogni ruolo è una raccolta di uno maggiori autorizzazioni. Le autorizzazioni sono le unità di base di IAM: ogni autorizzazione consente di eseguire una determinata azione. Consulta: Ruoli IAM in Cloud SQL e le autorizzazioni IAM in Cloud SQL per gli elenchi completi di tutti i ruoli e le autorizzazioni disponibili in Cloud SQL.

Quando utilizzi un account per connetterti a un account Cloud SQL istanza, l'account deve avere la classe Cloud SQL > il ruolo Cliente (roles/cloudsql.client), che include le autorizzazioni richiesta per la connessione.

Puoi aggiungere ruoli a un account nella console nella pagina IAM e amministrazione > IAM e visualizzare le autorizzazioni appartenenti a ciascun ruolo nella pagina IAM e amministrazione > Ruoli.

Cloud SQL utilizza gli account di servizio per l'autenticazione tra Cloud SQL e altri prodotti Google Cloud. Gli account di servizio forniscono credentials in Formato JSON, che puoi scaricare dalla console e utilizzare per l'autenticazione in vari scenari.

Ad esempio, la connessione da un'applicazione in esecuzione in container Docker.

Ruoli e autorizzazioni Cloud SQL con il proxy di autenticazione Cloud SQL

Se ti connetti a un'istanza Cloud SQL da Compute Engine utilizzando il proxy di autenticazione Cloud SQL, puoi utilizzare l'account di servizio Compute Engine predefinito associato di Compute Engine.

Come per tutti gli account che si connettono a un'istanza Cloud SQL, l'account di servizio deve disporre del ruolo Cloud SQL > Client.

Ruoli e autorizzazioni di Cloud SQL con opzioni serverless

Le opzioni serverless di Google Cloud includono App Engine Funzioni di Cloud Run e Cloud Run.

Utilizza un account di servizio per autorizzare l'accesso da queste opzioni. L'account di servizio autorizza l'accesso a tutto Cloud SQL in un progetto specifico. Quando crei un'applicazione o una funzione Cloud Run, questo servizio crea l'account per te. Puoi trovare l'account nella IAM e Amministratore > IAM , con il suffisso appropriato:

Opzione serverless Suffisso account di servizio
App Engine @gae-api-prod.google.com.iam.gserviceaccount.com
Funzioni Cloud Run @appspot.gserviceaccount.com
Cloud Run compute@developer.gserviceaccount.com
Come per tutti gli account che si connettono a un'istanza Cloud SQL, l'account di servizio deve disporre del ruolo Cloud SQL > Client.

Ruoli e autorizzazioni Cloud SQL con Cloud Storage

Le funzionalità di importazione ed esportazione in Cloud SQL funzionano in sinergia. Esportazioni in Cloud Storage e importa i dati letti da lì. Per questo motivo, l'account di servizio che utilizzi per queste operazioni deve disporre delle autorizzazioni di lettura e scrittura per Cloud Storage:

  • Per importare ed esportare dati da Cloud Storage, l'account di servizio dell'istanza Cloud SQL deve avere il ruolo IAM storage.objectAdmin impostato nel progetto. Puoi trovare il nome dell'account di servizio dell'istanza nella console Google Cloud nella pagina Panoramica dell'istanza.
  • Puoi utilizzare il comando gcloud storage buckets add-iam-policy-binding per concedere Ruolo IAM all'account di servizio per il bucket.
  • Per assistenza sull'impostazione dei ruoli e delle autorizzazioni IAM, consulta Utilizzare le autorizzazioni IAM.
  • Per ulteriori informazioni, consulta IAM per Cloud Storage.

Ruoli e autorizzazioni di Cloud SQL con autenticazione di gruppo IAM

Quando utilizzi l'autenticazione di gruppo IAM, puoi creare i gruppi. Puoi quindi utilizzare per gestire i privilegi di accesso e database alle istanze Cloud SQL.

La tabella seguente elenca i ruoli necessari per gestire l'autenticazione di gruppo IAM.

Azione Ruoli
Creare, visualizzare e gestire i gruppi.

roles/resourcemanager.organizationViewer

Visualizza il log delle modifiche all'appartenenza ai gruppi IAM.

roles/logging.viewer

Concedi, visualizza e imposta le autorizzazioni IAM a livello di progetto.

roles/resourcemanager.projectIamAdmin

Concedi, visualizza e imposta le autorizzazioni IAM a livello di cartella.

roles/resourcemanager.folderIamAdmin

L'amministratore può concedere ruoli Cloud SQL o singole autorizzazioni Cloud SQL a ciascun gruppo. I membri di ogni gruppo ereditano ruoli e autorizzazioni.

Ruoli e autorizzazioni Cloud SQL per l'integrazione di Dataplex

Per fornire l'accesso ai metadati Cloud SQL su Dataplex, può concedere a un utente il ruolo roles/cloudsql.schemaViewer o aggiungere Autorizzazione cloudsql.schemas.view per un ruolo personalizzato.

Per ulteriori informazioni, vedi Gestisci le risorse Cloud SQL con Dataplex Catalog.

Autorizzazione per accedere alle istanze Cloud SQL private

Quando un altro servizio Google Cloud, ad esempio BigQuery, deve comunicare con la tua istanza Cloud SQL per accedere ai dati ed eseguire query su questi dati tramite una connessione privata, il servizio utilizza un percorso interno anziché gli indirizzi IP privati all'interno del Virtual Private Cloud (VPC). Il traffico non può essere controllato o limitato con configurazioni a livello di VPC, regole del firewall, criteri di route o interruzione del peering.

Cloud SQL offre invece un flag di configurazione sull'istanza per controllare se attivare o disattivare questo percorso interno per gli altri servizi Google Cloud che accedono del database.

Controlla e revoca l'autorizzazione

Quando un altro servizio Google Cloud, ad esempio BigQuery, tenta di accedere alla tua istanza Cloud SQL privata, deve fornire un'identità legittima con l'autorizzazione IAM cloudsql.instances.connect.

In genere, un servizio può ottenere questo risultato in due modi:

  1. Inoltro delle credenziali dell'utente. Un servizio può inoltrare i dati IAM dell'utente l'identità a Cloud SQL per valutare l'autorizzazione ad accedere a un'istanza. In questo scenario, l'utente deve disporre di autorizzazioni IAM sufficienti Cloud SQL può stabilire una connessione.
  2. Tramite un account di servizio. Un servizio, come BigQuery, può utilizzare un account di servizio preconfigurato per connettersi a un'istanza Cloud SQL. In questo caso, l'account di servizio deve disporre di autorizzazioni IAM sufficienti.

    Ad esempio, per la connessione federata tra BigQuery e Cloud SQL, viene creato un account di servizio denominato service-{PROJECT_NUMBER}@gcp-sa-bigqueryconnection.iam.gserviceaccount.com quando viene attivata l'API di connessione BigQuery. Questo account di servizio dispone di due autorizzazioni Cloud SQL: cloudsql.instances.connect e cloudsql.instances.get. BigQuery utilizza queste autorizzazioni per accedere a un'istanza Cloud SQL privata tramite un percorso interno.

Per controllare l'autorizzazione che consente di utilizzare questo percorso interno, puoi concedere e di revocare le autorizzazioni IAM da e verso l'identità IAM dell'utente che Il servizio Google Cloud, ad esempio BigQuery, lo utilizza per connettersi di Cloud SQL. Per saperne di più sulla concessione e sulla revoca delle autorizzazioni in BigQuery, vedi Configurare l'accesso a Cloud SQL.

Ruoli e autorizzazioni di Cloud SQL con altri scenari

Cloud SQL interagisce con altri prodotti e strumenti Google Cloud. Queste interazioni richiedono inoltre ruoli e autorizzazioni specifici che possono variare da uno scenario all'altro. La documentazione di Cloud SQL fornisce informazioni dettagliate su questi requisiti per ogni caso riportato di seguito:

Usa IAM con i progetti

Le sezioni seguenti mostrano come completare le attività IAM di base su in modo programmatico a gestire i progetti.

Per completare le seguenti attività, devi disporre delle autorizzazioni IAM resourcemanager.projects.getIamPolicy e resourcemanager.projects.setIamPolicy.

Aggiungere un membro a un criterio a livello di progetto

Per un elenco dei ruoli associati a Cloud SQL, consulta Ruoli IAM.

Console

  1. Vai alla sezione IAM e Amministrazione la console Google Cloud
  2. Nel menu a discesa del progetto nella barra in alto, seleziona il progetto a cui vuoi aggiungere un membro.
  3. Fai clic su Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi membri, ruoli al progetto.
  4. Nel campo Nuovi membri, specifica il nome dell'entità a cui stai concedendo l'accesso.
  5. Nel menu a discesa Seleziona un ruolo, assegna il ruolo appropriato al . I ruoli che influiscono sulle risorse Cloud SQL si trovano nei sottomenu Progetto e Cloud SQL.
  6. Fai clic su Salva.

gcloud

Per aggiungere un criterio IAM a livello di progetto, utilizza gcloud beta projects add-iam-policy-binding.

Visualizza il criterio IAM per un progetto

Console

  1. Vai alla pagina IAM e amministrazione nella console Google Cloud.
  2. Nel menu a discesa del progetto nella barra superiore, seleziona il progetto che vuoi visualizzare.
  3. Esistono due modi per visualizzare le autorizzazioni per il progetto:
    • Visualizza per Membri: visualizza la colonna Ruolo associata al singolo utente per vedere i ruoli di ogni membro.
    • Visualizza per Ruoli: utilizza il menu a discesa associato ai singoli ruoli per vedere quali membri dispongono del ruolo.

gcloud

Per visualizzare il criterio IAM di un progetto, utilizza gcloud beta projects get-iam-policy.

Rimuovi un membro da un criterio a livello di progetto

Console

  1. Vai alla sezione IAM e Amministrazione la console Google Cloud
  2. Nel menu a discesa del progetto nella barra in alto, seleziona il progetto da cui vuoi rimuovere un membro.
  3. Assicurati di visualizzare le autorizzazioni in base ai Membri e seleziona il membri che vuoi rimuovere.
  4. Fai clic su Rimuovi.
  5. Nella finestra in overlay visualizzata, fai clic su Conferma.

gcloud

Per rimuovere un criterio IAM a livello di progetto, utilizza gcloud beta projects remove-iam-policy-binding

Best practice

IAM, come qualsiasi altra impostazione amministrativa, richiede che la gestione dei dati sia efficace. Prima di rendere una risorsa accessibile altri utenti, assicurati di sapere quali ruoli desideri ricoprire. Nel tempo, le modifiche alla gestione dei progetti, ai modelli di utilizzo e all'organizzazione la proprietà può richiedere la modifica delle impostazioni IAM su progetti, soprattutto se gestisci Cloud SQL in un'organizzazione di grandi dimensioni o per un ampio gruppo di utenti. Quando valuti e pianifichi le impostazioni di controllo dell'accesso, tieni presenti le seguenti best practice:

  • Utilizza il principio del privilegio minimo quando concedi l'accesso. Il principio del privilegio minimo è una linea guida per la sicurezza per concedere l'accesso alle tue risorse. Quando concedi l'accesso in base principio del privilegio minimo, concedi a un utente solo l'accesso di cui ha bisogno a svolgere l'attività assegnata.

  • Evita di concedere ruoli con autorizzazione setIamPolicy a persone che non conosci. La concessione dell'autorizzazione setIamPolicy consente a un utente di modificare le autorizzazioni e di assumere il controllo dei dati. Devi utilizzare i ruoli con setIamPolicy autorizzazione solo se vuoi delegare il controllo amministrativo su oggetti e bucket.

  • Assicurati di delegare il controllo amministrativo delle tue risorse. Assicurati che le tue risorse possano essere gestite da altri membri del team se una persona con accesso amministrativo lascia il gruppo. Due modi comuni per raggiungere questo obiettivo sono i seguenti:

    • Assegna il ruolo Amministratore Cloud SQL per il progetto a un gruppo piuttosto che una singola persona.
    • Assegna il ruolo Amministratore Cloud SQL per il tuo progetto ad almeno due singoli utenti.

Passaggi successivi