Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso condizionale basato su attributi per le risorse Google Cloud, incluse le istanze Cloud SQL. Per ulteriori informazioni sulle condizioni IAM, consulta la pagina Panoramica delle condizioni IAM.
Introduzione
In Cloud SQL, puoi applicare in modo forzato l'accesso condizionale in base ai seguenti attributi:
- Attributi data/ora: utilizzati per impostare l'accesso temporaneo (in scadenza), pianificato o limitato per la durata alle risorse Cloud SQL. Ad esempio, puoi consentire a un utente di accedere a un'istanza di database fino a una data specificata. Puoi utilizzare gli attributi data/ora a qualsiasi livello della gerarchia delle risorse. Per maggiori informazioni, consulta la sezione Configurare l'accesso temporaneo.
- Attributi delle risorse: utilizzati per configurare l'accesso condizionale in base a un tag, nome di risorsa, tipo di risorsa o attributo di servizio di risorse. In Cloud SQL, puoi utilizzare gli attributi delle istanze del database per configurare l'accesso condizionale. Ad esempio, puoi consentire a un utente di accedere solo alle istanze con un tag specifico. Per ulteriori informazioni, consulta Configurazione dell'accesso basato sulle risorse.
I casi d'uso includono:
Consente agli utenti di connettersi a istanze specifiche.
Consente agli utenti di creare istanze con prefissi o suffissi specifici (ad esempio "test").
Limitazione dell'accesso alle operazioni di backup per le istanze di test
Consente agli utenti di eliminare le istanze di sviluppo e test, ma non quelle di produzione.
Consentire agli utenti di eseguire operazioni amministrative in determinate date o in determinati orari.
Consenti agli utenti di connettersi a istanze specifiche
Supponiamo di voler concedere a un account utente o di servizio l'autorizzazione per connettersi a una sola istanza Cloud SQL specifica. Puoi includere una condizione IAM nell'associazione di criteri IAM che concede all'account le autorizzazioni di un ruolo Cloud SQL.
Per impostazione predefinita, il ruolo client Cloud SQL predefinito (roles/cloudsql.client
), che contiene l'autorizzazione cloudsql.instances.connect
, autorizza il relativo membro a connettersi a tutte le istanze Cloud SQL in un progetto. Introducendo una condizione IAM
nell'associazione dei criteri, puoi concedere l'autorizzazione solo all'istanza
denominata.
Console
Questo esempio mostra come modificare l'associazione IAM esistente per il progetto al fine di assegnare a un account di servizio un ruolo client Cloud SQL per un'istanza specifica.
Questo esempio utilizza le seguenti variabili:
- PROJECT_ID: il tuo progetto Google Cloud.
- INSTANCE_ID: il nome dell'istanza a cui vuoi concedere l'accesso.
-
Nella console Google Cloud, vai alla pagina IAM.
- Fai clic su Aggiungi.
- Nella casella di immissione Nuovi membri, inserisci l'indirizzo email dell'account di servizio.
- Fai clic sull'elenco a discesa Ruolo e seleziona il ruolo Client Cloud SQL.
- Fai clic su Aggiungi condizione.
- Inserisci un titolo e una descrizione.
- Seleziona la scheda Editor condizioni.
- Nella sezione Generatore di condizioni:
- In Tipo di condizione - Risorsa - Nome, inserisci
projects/PROJECT_ID/instances/INSTANCE_ID
. - Assicurati che sia selezionata la condizione AND.
- In Tipo di condizione - Risorsa - Servizio, seleziona
sqladmin.googleapis.com
.
- In Tipo di condizione - Risorsa - Nome, inserisci
- Fai clic su Salva per salvare la condizione.
- Fai clic su Salva per salvare il criterio.
gcloud
Questo esempio mostra come modificare l'associazione dei criteri IAM esistente per il progetto al fine di assegnare a un account di servizio specifico il ruolo Client Cloud SQL, ma solo per un'istanza specifica.
Questo esempio utilizza le seguenti variabili:
- PROJECT_ID: il tuo progetto Google Cloud.
- INSTANCE_ID: il nome dell'istanza a cui vuoi concedere l'accesso.
- SERVICE_ACCOUNT_EMAIL: l'indirizzo email completo dell'account di servizio di cui vuoi modificare l'accesso.
- Scarica le associazioni di criteri IAM esistenti e inviale al file
bindings.json
: - Aggiungi la seguente associazione di ruolo condizionale al file
bindings.json
:{ "bindings": [ { "role": "roles/cloudsql.client", "members": [ "serviceAccount:SERVICE_ACCOUNT_EMAIL" ], "condition": { "expression": "resource.name == 'projects/PROJECT_ID/instances/INSTANCE_ID' && resource.service == 'sqladmin.googleapis.com'" } } ], "etag": "BwWKmjvelug=", "version": 3 }
- Aggiorna il criterio IAM con il nuovo file
bindings.json
.gcloud projects set-iam-policy PROJECT_ID bindings.json
gcloud projects get-iam-policy PROJECT_ID --format=json > bindings.json
Terraform
Per consentire agli utenti di connettersi a istanze specifiche, utilizza una risorsa di dati Terraform google_iam_policy
e una risorsa Terraform google_project_iam_policy
.
Applica le modifiche
Per applicare la tua configurazione Terraform a un progetto Google Cloud, completa i passaggi nelle sezioni seguenti.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito a cui vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.
Prepara la directory
Ogni file di configurazione Terraform deve avere la propria directory (chiamata anche modulo principale).
-
In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve avere l'estensione
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel nuovo oggetto
main.tf
.Facoltativamente, copia il codice da GitHub. Questa opzione è consigliata se lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Esamina la configurazione e verifica che le risorse che Terraform creerà o aggiornerà soddisfino le tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione Terraform eseguendo questo comando e inserendo
yes
al prompt:terraform apply
Attendi finché in Terraform non viene visualizzato il messaggio "Applicazione completata!".
- Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti che Terraform le abbia create o aggiornate.
Elimina le modifiche
Per eliminare le modifiche:
- Per disabilitare la protezione dall'eliminazione, imposta l'argomento
deletion_protection
nel file di configurazione di Terraform sufalse
.deletion_protection = "false"
- Applica la configurazione Terraform aggiornata eseguendo questo comando e
inserendo
yes
al prompt:terraform apply
-
Per rimuovere le risorse applicate in precedenza con la tua configurazione Terraform, esegui questo comando e inserisci
yes
al prompt:terraform destroy
Limita l'accesso alle operazioni di backup per le istanze di test
Supponiamo che la topologia del tuo servizio sia configurata in modo che tutte le istanze di test abbiano un prefisso di test
(ad esempio, test-instance-1
) e che tutte le istanze di produzione abbiano un prefisso di prod
(ad esempio, prod-instance-1
).
Puoi limitare l'accesso alle operazioni di backup alle istanze di test per un account utente o di servizio. La limitazione dell'accesso include la limitazione delle operazioni CREATE
, GET
, LIST
o DELETE
ai backup per le istanze di test.
Console
-
Nella console Google Cloud, vai alla pagina IAM.
- Fai clic sulla scheda PRINCIPALI.
- Individua l'indirizzo email o l'account di servizio (entità) dell'utente a cui vuoi limitare l'accesso.
- Fai clic sull'icona Modifica entità a destra dell'entità. Questa icona ha l'aspetto di una matita.
- Nella finestra di dialogo Modifica autorizzazioni, fai clic su AGGIUNGI UN ALTRO RUOLO.
Nel campo Filtro della finestra di dialogo successiva, inserisci
Cloud SQL Admin
. Quindi, seleziona il ruolo Amministratore Cloud SQL che viene visualizzato.La finestra di dialogo Modifica autorizzazioni è attiva e il ruolo Amministratore Cloud SQL ora viene visualizzato nella finestra di dialogo.
- A destra del ruolo Amministratore Cloud SQL, fai clic sul link Aggiungi condizione.
- Nella finestra di dialogo Modifica condizione, fornisci le seguenti informazioni:
- Nel campo Titolo, inserisci un nome per la condizione che stai aggiungendo per limitare l'accesso alle operazioni di backup per le istanze di test. Ad esempio, puoi inserire
Limit access to backup operations
. Fai clic sulla scheda EDITOR DI CONDIZIONI, quindi aggiungi la seguente condizione:
resource.type == "sqladmin.googleapis.com/BackupRun" && resource.name.startsWith("projects/PROJECT_ID/instances/test")
- Nel campo Titolo, inserisci un nome per la condizione che stai aggiungendo per limitare l'accesso alle operazioni di backup per le istanze di test. Ad esempio, puoi inserire
- Fai clic su SALVA.
- Nella finestra di dialogo Modifica autorizzazioni, fai clic su SALVA.
gcloud
Questo esempio utilizza le seguenti variabili:
- PROJECT_ID: il tuo progetto Google Cloud.
- USER_EMAIL: l'indirizzo email dell'utente.
- SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo dell'account di servizio di cui vuoi limitare l'accesso.
-
Limita l'ambito del ruolo
cloudsql.admin
per un utente con indirizzo email USER_EMAIL.L'ambito del ruolo è limitato alle risorse i cui nomi iniziano con
projects/PROJECT_ID/instances/test
.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:USER_EMAIL \ --role=roles/cloudsql.admin \ --condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"
-
Limita l'ambito del ruolo
cloudsql.admin
per un utente che ha eseguito l'accesso con un account di servizio SERVICE_ACCOUNT_EMAIL.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_EMAIL \ --role=roles/cloudsql.admin \ --condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"
OR
Consenti agli utenti di eliminare le istanze di test, ma non le istanze di produzione
Supponi di voler consentire a un account di servizio di eliminare le istanze di test, ma non le istanze di produzione. Puoi farlo utilizzando i tag e aggiungendo le due seguenti associazioni di criteri per l'account di servizio:
- Un ruolo Editor Cloud SQL per la risorsa in cui hai concesso il ruolo e i relativi discendenti. Se concesso per il progetto, il ruolo si applica a tutte
le istanze del progetto. Il ruolo Editor Cloud SQL
non contiene l'autorizzazione
cloudsql.instances.delete
. - Un ruolo Amministratore Cloud SQL per le istanze con il tag
test
.
Console
-
Nella console Google Cloud, vai alla pagina IAM.
- Fai clic su Aggiungi.
- Nel campo Nuovi membri, inserisci l'indirizzo email dell'account di servizio.
- Fai clic sull'elenco a discesa Ruolo e seleziona il ruolo Editor Cloud SQL. Non aggiungere altro per questo ruolo.
- Fai clic su Salva per salvare la condizione.
- Fai clic sul menu Ruolo per lo stesso account e seleziona il ruolo Amministratore Cloud SQL.
- Fai clic su Aggiungi condizione.
- Inserisci un titolo e una descrizione.
- Seleziona la scheda Editor condizioni.
- Nella sezione Generatore di condizioni:
- In Tipo di condizione - Risorsa - Nome, inserisci un nome per la condizione.
- In Tipo di condizione - Risorsa - Servizio, seleziona
sqladmin.googleapis.com
. - In Tipo di condizione - Risorsa - Tag, inserisci il nome dello spazio dei nomi della chiave tag. Per questo esempio, l'operatore è
matches
e il valore è815471563813/env/test
.
- Fai clic su Salva per salvare la condizione.
- Fai clic su Salva per salvare il criterio.
gcloud
Questo esempio utilizza le seguenti variabili:
- PROJECT_ID: il tuo progetto Google Cloud.
- INSTANCE_ID: la tua istanza Cloud SQL.
- REGION: la regione in cui si trova l'istanza Cloud SQL.
- ORGANIZATION_ID: l'ID dell'organizzazione che sarà la risorsa padre di questa chiave tag, ad esempio 12345678901. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni.
- SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo dell'account di servizio di cui vuoi modificare l'accesso.
- Crea una chiave tag denominata "env" con i valori di tag "prod" e "test". Per maggiori
informazioni, consulta
Creare e definire un nuovo tag.
gcloud alpha resource-manager tags keys create env \ --parent=organizations/ORGANIZATION_ID gcloud alpha resource-manager tags values create prod \ --parent=env gcloud alpha resource-manager tags values create test \ --parent=env
- Collega il tag "env" con il valore "test" alle istanze Cloud SQL dell'ambiente di test. Per ulteriori informazioni, consulta la pagina Tag Cloud SQL.
- Ottieni le associazioni di criteri IAM esistenti e inviale al file
bindings.json
:gcloud projects get-iam-policy PROJECT_ID --format=json >> bindings.json
- Aggiungi le seguenti associazioni condizionali al file
bindings.json
:{ "bindings": [ { "role": "roles/cloudsql.editor", "members": [ "serviceAccount:SERVICE_ACCOUNT_EMAIL" ] }, { "role": "roles/cloudsql.admin", "members": [ "serviceAccount:SERVICE_ACCOUNT_EMAIL" ], "condition": { "expression": "resource.matchTag('ORGANIZATION_ID/env', 'test')" } } ], "etag": "BwWKmjvelug=" "version": 3 }
- Aggiorna le associazioni dei criteri IAM con il nuovo file
bindings.json
.gcloud projects set-iam-policy PROJECT_ID bindings.json
gcloud alpha resource-manager tags bindings create \ --tag-value=test \ --parent=//sqladmin.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID \ --location=REGION