Ruoli e autorizzazioni IAM di VMware Engine

Google Cloud VMware Engine dispone di un set specifico di ruoli Identity and Access Management (IAM). Ogni ruolo contiene un insieme di autorizzazioni.

Quando aggiungi un nuovo membro al progetto, puoi utilizzare un criterio IAM per assegnargli uno o più ruoli IAM. Ogni ruolo IAM contiene autorizzazioni che concedono al membro l'accesso alle risorse VMware Engine.

Gestione dell'accesso a VMware Engine

Questa guida descrive come gestire l'accesso a VMware Engine utilizzando il principio del privilegio minimo concedendo l'accesso a risorse padre specifiche, come un progetto Google Cloud o un'organizzazione. Puoi concedere l'accesso a un progetto impostando un criterio IAM sulla risorsa. Il criterio associa uno o più membri, ad esempio un account utente o di servizio, a uno o più ruoli. Ogni ruolo contiene un elenco di autorizzazioni che consentono al membro di interagire con la risorsa.

In IAM esistono tre tipi di ruoli:

  • I ruoli di base includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
  • I ruoli predefiniti forniscono un accesso granulare a un servizio specifico e sono gestiti da Google Cloud. I ruoli predefiniti sono progettati per supportare casi d'uso e pattern di controllo dell'accesso dell'accesso comuni.
  • I ruoli personalizzati forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.

Autorizzazioni VMware Engine

La tabella seguente elenca le autorizzazioni e le descrizioni di VMware Engine:

Autorizzazione Descrizione
vmwareengine.googleapis.com/services.view Accesso in lettura al portale e alle risorse VMware Engine.*
vmwareengine.googleapis.com/services.use Accesso amministrativo al portale e alle risorse VMware Engine

* Un ruolo con questa autorizzazione può anche visualizzare le credenziali di accesso per vCenter e NSX-T.

Ruoli VMware Engine

La tabella seguente elenca i ruoli e le descrizioni di VMware Engine:

Ruolo Descrizione
VMware Engine Service Viewer Accesso in lettura al portale e alle risorse VMware Engine.*
VMware Engine Service Admin Accesso amministrativo al portale e alle risorse VMware Engine

* Un ruolo con questa autorizzazione può anche visualizzare le credenziali di accesso per vCenter e NSX-T.

Ruoli di base per i progetti

Per impostazione predefinita, la concessione dell'accesso a un progetto Google Cloud concede anche l'accesso ai cloud privati di VMware Engine. Qualsiasi utente con il ruolo di progetto Owner può concedere, revocare o modificare qualsiasi ruolo nel progetto.

Ruolo di base Funzionalità
Viewer Può visualizzare la console VMware Engine, i cloud privati e tutte le risorse. Questo ruolo include il ruolo VMware Engine Service Viewer
Editor Uguale a Viewer, più:
  • Può creare, aggiornare ed eliminare tutte le risorse, incluse tutte le risorse di rete e gli indirizzi IP esterni. Il ruolo Editor può anche creare e aggiungere un cloud privato e aggiungere o rimuovere nodi da un cloud privato. Questo ruolo include il ruolo VMware Engine Service Admin.
Owner Uguale a Editor.

Concedere o revocare l'accesso a VMware Engine

Puoi concedere l'accesso al portale VMware Engine utilizzando i ruoli e i ruoli vengono applicati alle risorse VMware Engine a livello di progetto. Non è possibile applicare un ruolo a un singolo cloud privato se un progetto contiene più cloud privati.

Concessione dell'accesso

Per aggiungere un membro del team a un progetto e concedere loro un ruolo VMware Engine:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. Fai clic su Seleziona un progetto, scegline uno e fai clic su Apri.

  3. Fai clic su Aggiungi.

  4. Inserisci un indirizzo email. Puoi aggiungere come membri singoli utenti, account di servizio o gruppi Google.

  5. Seleziona un ruolo VMware Engine Service Viewer o VMware Engine Service Admin in base al tipo di accesso necessario per l'utente o il gruppo. I ruoli concedono ai membri un livello di autorizzazione specifico.

    Per una sicurezza ottimale, consigliamo vivamente di concedere a ogni utente o gruppo il numero minimo di privilegi necessari. I membri con il ruolo Owner possono gestire tutti gli aspetti delle risorse VMware Engine.

  6. Fai clic su Salva.

Revoca dell'accesso

Per revocare l'accesso a VMware Engine da un utente o da un gruppo:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. Fai clic su Seleziona un progetto, scegline uno e fai clic su Apri.

  3. Individua l'utente o il gruppo da cui vuoi revocare l'accesso e fai clic su Modifica.

  4. Per ogni ruolo da revocare, fai clic su Elimina e quindi su Salva.