Controlla l'accesso con IAM

Quando crei un Google Cloud progetto, sei l'unico utente del progetto. Per impostazione predefinita, nessun altro utente ha accesso al tuo progetto o alle sue risorse. Identity and Access Management (IAM) gestisce Google Cloud le risorse, come i cluster. Le autorizzazioni vengono assegnate alle entità IAM.

IAM ti consente di concedere ruoli alle entità. Un ruolo è una raccolta di autorizzazioni e, se concesso a un'entità, controlla l'accesso a una o più Google Cloud risorse. Puoi utilizzare i seguenti tipi di ruoli:

  • I ruoli di base forniscono autorizzazioni approssimative limitate a Proprietario, Editor e Visualizzatore.
  • Ruoli predefiniti, che forniscono un accesso più granulare rispetto ai ruoli di base e risolvono molti casi di uso comuni.
  • I ruoli personalizzati ti consentono di creare combinazioni uniche di autorizzazioni.

Un entità può essere una delle seguenti:

  • Account utente
  • Service account
  • Gruppo Google di Google Workspace
  • Dominio Google Workspace
  • Dominio Cloud Identity

Tipi di criteri IAM

IAM supporta i seguenti tipi di criteri:

  • Criteri di autorizzazione: concedi i ruoli alle entità. Per maggiori dettagli, consulta Criteri di autorizzazione.
  • Criteri di negazione: impediscono alle entità di utilizzare autorizzazioni IAM specifiche, indipendentemente dai ruoli a loro assegnati. Per i dettagli, consulta Policy di rifiuto.

Utilizza i criteri di rifiuto per impedire a entità specifiche di eseguire azioni specifiche nel progetto, nella cartella o nell'organizzazione anche se un criterio di autorizzazione IAM assegna a queste entità un ruolo contenente le autorizzazioni pertinenti.

Ruoli predefiniti

IAM fornisce ruoli predefiniti per concedere l'accesso granulare a determinate Google Cloud risorse e per impedire l'accesso indesiderato ad altre Google Cloud risorse. Google Cloud crea e gestisce questi ruoli e aggiorna automaticamente le relative autorizzazioni in base alle necessità, ad esempio quando Google Cloud Observability aggiunge nuove funzionalità.

I ruoli predefiniti per l'osservabilità di Google Cloud contengono autorizzazioni per funzionalità che coprono più aree di prodotto. Per questo motivo, potresti visualizzare alcune autorizzazioni, come observability.scopes.get, incluse nei ruoli predefiniti per queste aree di prodotto. Ad esempio, il ruolo Visualizzatore log (roles/logging.viewer) include l'autorizzazione observability.scopes.get, oltre a molte autorizzazioni specifiche per il logging.

La tabella seguente elenca i ruoli predefiniti per l'osservabilità di Google Cloud. Per ciascun ruolo, la tabella mostra il titolo, la descrizione, le autorizzazioni contenute e il tipo di risorsa di livello più basso in cui è possibile concedere i ruoli. Puoi concedere i ruoli predefiniti a livello di progetto Google Cloud o, nella maggior parte dei casi, a qualsiasi tipo superiore nella gerarchia delle risorse.

Per visualizzare un elenco di tutte le singole autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

Passaggi successivi