Ruoli e autorizzazioni IAM di VMware Engine
Google Cloud VMware Engine dispone di un set specifico di ruoli Identity and Access Management (IAM). Ogni ruolo contiene un insieme di autorizzazioni.
Quando aggiungi un nuovo membro al progetto, puoi utilizzare un criterio IAM per assegnargli uno o più ruoli IAM. Ogni ruolo IAM contiene autorizzazioni che concedono al membro l'accesso alle risorse VMware Engine.
Gestione dell'accesso a VMware Engine
Questa guida descrive come gestire l'accesso a VMware Engine utilizzando il principio del privilegio minimo concedendo l'accesso a risorse padre specifiche, come un progetto Google Cloud o un'organizzazione. Puoi concedere l'accesso a un progetto impostando un criterio IAM sulla risorsa. Il criterio associa uno o più membri, ad esempio un account utente o di servizio, a uno o più ruoli. Ogni ruolo contiene un elenco di autorizzazioni che consentono al membro di interagire con la risorsa.
In IAM esistono tre tipi di ruoli:
- I ruoli di base includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
- I ruoli predefiniti forniscono un accesso granulare a un servizio specifico e sono gestiti da Google Cloud. I ruoli predefiniti sono progettati per supportare casi d'uso e pattern di controllo dell'accesso dell'accesso comuni.
- I ruoli personalizzati forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.
Autorizzazioni VMware Engine
La tabella seguente elenca le autorizzazioni e le descrizioni di VMware Engine:
Autorizzazione | Descrizione |
---|---|
vmwareengine.googleapis.com/services.view |
Accesso in lettura al portale e alle risorse VMware Engine.* |
vmwareengine.googleapis.com/services.use |
Accesso amministrativo al portale e alle risorse VMware Engine |
* Un ruolo con questa autorizzazione può anche visualizzare le credenziali di accesso per vCenter e NSX-T.
Ruoli VMware Engine
La tabella seguente elenca i ruoli e le descrizioni di VMware Engine:
Ruolo | Descrizione |
---|---|
VMware Engine Service Viewer |
Accesso in lettura al portale e alle risorse VMware Engine.* |
VMware Engine Service Admin |
Accesso amministrativo al portale e alle risorse VMware Engine |
* Un ruolo con questa autorizzazione può anche visualizzare le credenziali di accesso per vCenter e NSX-T.
Ruoli di base per i progetti
Per impostazione predefinita, la concessione dell'accesso a un progetto Google Cloud concede anche l'accesso ai cloud privati di VMware Engine. Qualsiasi utente con il ruolo di progetto Owner
può concedere, revocare o modificare qualsiasi ruolo nel progetto.
Ruolo di base | Funzionalità |
---|---|
Viewer |
Può visualizzare la console VMware Engine, i cloud privati e tutte le risorse. Questo ruolo include il ruolo VMware Engine Service
Viewer |
Editor |
Uguale a Viewer , più:
|
Owner |
Uguale a Editor . |
Concedere o revocare l'accesso a VMware Engine
Puoi concedere l'accesso al portale VMware Engine utilizzando i ruoli e i ruoli vengono applicati alle risorse VMware Engine a livello di progetto. Non è possibile applicare un ruolo a un singolo cloud privato se un progetto contiene più cloud privati.
Concessione dell'accesso
Per aggiungere un membro del team a un progetto e concedere loro un ruolo VMware Engine:
Nella console Google Cloud, vai alla pagina IAM.
Fai clic su Seleziona un progetto, scegline uno e fai clic su Apri.
Fai clic su Aggiungi.
Inserisci un indirizzo email. Puoi aggiungere come membri singoli utenti, account di servizio o gruppi Google.
Seleziona un ruolo
VMware Engine Service Viewer
oVMware Engine Service Admin
in base al tipo di accesso necessario per l'utente o il gruppo. I ruoli concedono ai membri un livello di autorizzazione specifico.Per una sicurezza ottimale, consigliamo vivamente di concedere a ogni utente o gruppo il numero minimo di privilegi necessari. I membri con il ruolo
Owner
possono gestire tutti gli aspetti delle risorse VMware Engine.Fai clic su Salva.
Revoca dell'accesso
Per revocare l'accesso a VMware Engine da un utente o da un gruppo:
Nella console Google Cloud, vai alla pagina IAM.
Fai clic su Seleziona un progetto, scegline uno e fai clic su Apri.
Individua l'utente o il gruppo da cui vuoi revocare l'accesso e fai clic su Modifica.
Per ogni ruolo da revocare, fai clic su Elimina e quindi su Salva.