Quando crei un Google Cloud progetto, sei l'unico utente del progetto. Per impostazione predefinita, nessun altro utente ha accesso al tuo progetto o alle sue risorse. Identity and Access Management (IAM) gestisce Google Cloud le risorse, come i cluster. Le autorizzazioni vengono assegnate alle entità IAM.
IAM ti consente di concedere ruoli alle entità. Un ruolo è una raccolta di autorizzazioni e, se concesso a un'entità, controlla l'accesso a una o più Google Cloud risorse. Puoi utilizzare i seguenti tipi di ruoli:
- I ruoli di base forniscono autorizzazioni approssimative limitate a Proprietario, Editor e Visualizzatore.
- Ruoli predefiniti, che forniscono un accesso più granulare rispetto ai ruoli di base e risolvono molti casi di uso comuni.
- I ruoli personalizzati ti consentono di creare combinazioni uniche di autorizzazioni.
Un entità può essere una delle seguenti:
- Account utente
- Service account
- Gruppo Google di Google Workspace
- Dominio Google Workspace
- Dominio Cloud Identity
Tipi di criteri IAM
IAM supporta i seguenti tipi di criteri:
- Criteri di autorizzazione: concedi i ruoli alle entità. Per maggiori dettagli, consulta Criteri di autorizzazione.
- Criteri di negazione: impediscono alle entità di utilizzare autorizzazioni IAM specifiche, indipendentemente dai ruoli a loro assegnati. Per i dettagli, consulta Policy di rifiuto.
Utilizza i criteri di rifiuto per impedire a entità specifiche di eseguire azioni specifiche nel progetto, nella cartella o nell'organizzazione anche se un criterio di autorizzazione IAM assegna a queste entità un ruolo contenente le autorizzazioni pertinenti.
Ruoli predefiniti
IAM fornisce ruoli predefiniti per concedere l'accesso granulare a determinate Google Cloud risorse e per impedire l'accesso indesiderato ad altre Google Cloud risorse. Google Cloud crea e gestisce questi ruoli e aggiorna automaticamente le relative autorizzazioni in base alle necessità, ad esempio quando Google Cloud Observability aggiunge nuove funzionalità.
I ruoli predefiniti per l'osservabilità di Google Cloud contengono autorizzazioni per funzionalità che coprono più aree di prodotto. Per questo motivo, potresti visualizzare alcune autorizzazioni, come observability.scopes.get
, incluse nei ruoli predefiniti per queste aree di prodotto. Ad esempio, il ruolo Visualizzatore log (roles/logging.viewer
) include l'autorizzazione observability.scopes.get
, oltre a molte autorizzazioni specifiche per il logging.
La tabella seguente elenca i ruoli predefiniti per l'osservabilità di Google Cloud. Per ciascun ruolo, la tabella mostra il titolo, la descrizione, le autorizzazioni contenute e il tipo di risorsa di livello più basso in cui è possibile concedere i ruoli. Puoi concedere i ruoli predefiniti a livello di progetto Google Cloud o, nella maggior parte dei casi, a qualsiasi tipo superiore nella gerarchia delle risorse.
Per visualizzare un elenco di tutte le singole autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.
Role | Permissions |
---|---|
Observability Admin Beta( Full access to Observability resources. |
|
Observability Analytics User Beta( Grants permissions to use Cloud Observability Analytics. |
|
Observability Editor Beta( Edit access to Observability resources. |
|
Observability Viewer Beta( Read only access to Observability resources. |
|
Passaggi successivi
- Logging: controlla l'accesso con IAM
- Monitoraggio: controlla l'accesso con IAM
- Traccia: controlla l'accesso con IAM