Gestire i criteri di accesso con ambito

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene descritto come creare e delegare criteri di accesso con ambito.

Prima di iniziare

Creazione di un criterio di accesso con ambito

Creare un criterio di accesso con ambito e delegare l'amministrazione alle cartelle e ai progetti nell'organizzazione. Dopo aver creato un criterio di accesso con ambito, non puoi modificarne l'ambito. Per modificare l'ambito di un criterio esistente, eliminalo e ricrealo con il nuovo ambito.

console

  1. Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza, quindi fai clic su Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Se richiesto, seleziona la tua organizzazione, la cartella o il progetto.

  3. Nella pagina Controlli di servizio VPC, seleziona il criterio di accesso principale del criterio con ambito. Ad esempio, puoi selezionare il criterio dell'organizzazione default policy.

  4. Fai clic su Gestisci criteri.

  5. Nella pagina Gestisci i controlli di servizio VPC, fai clic su Crea.

  6. Nella pagina Crea criterio di accesso, nella casella Nome criterio di accesso, digita un nome per il criterio di accesso con ambito.

    Il nome del criterio di accesso limitato può contenere massimo 50 caratteri, deve iniziare con una lettera e può contenere solo lettere ASCII latine (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del criterio di accesso limitato fa distinzione tra maiuscole e minuscole e deve essere univoco all'interno di un criterio di accesso dell'organizzazione.

  7. Per specificare un ambito per il criterio di accesso, fai clic su Ambiti.

  8. Specifica un progetto o una cartella come ambito del criterio di accesso.

    • Per selezionare un progetto da aggiungere all'ambito dei criteri di accesso:

      1. Nel riquadro Ambiti, fai clic su Aggiungi progetto.

      2. Nella finestra di dialogo Aggiungi progetto, seleziona la casella di controllo del progetto.

      3. Fai clic su Fine. Il progetto aggiunto viene visualizzato nella sezione Ambiti.

    • Per selezionare una cartella che vuoi aggiungere all'ambito del criterio di accesso, procedi nel seguente modo:

      1. Nel riquadro Ambiti, fai clic su Aggiungi cartella.

      2. Nella finestra di dialogo Aggiungi cartelle, seleziona la casella di controllo delle cartelle.

      3. Fai clic su Fine. La cartella aggiunta viene visualizzata nella sezione Ambiti.

  9. Per delegare l'amministrazione del criterio di accesso con ambito, fai clic su Entità.

  10. Per specificare il entità e il ruolo che vuoi associare al criterio di accesso, procedi come segue:

    1. Nel riquadro Entità, fai clic su Aggiungi entità.

    2. Nella finestra di dialogo Aggiungi entità, seleziona un'entità, ad esempio un nome utente o un account di servizio.

    3. Seleziona il ruolo che vuoi associare all'entità, ad esempio ruoli di Editor e Leggi.

    4. Fai clic su Salva. L'entità e il ruolo aggiunti vengono visualizzati nella sezione Entità.

  11. Nella pagina Crea criterio di accesso, fai clic su Crea criterio di accesso.

gcloud

Per creare un criterio di accesso con ambito, utilizza il comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dove:

  • ORGANIZATION_ID è l'ID numerico della tua organizzazione.

  • POLICY_TITLE è un titolo leggibile per le tue norme. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.

  • SCOPE è la cartella o il progetto a cui è applicabile questo criterio. Puoi specificare solo una cartella o un progetto come ambito, che deve esistere all'interno dell'organizzazione specificata. Se non specifichi un ambito, il criterio si applica all'intera organizzazione.

Viene visualizzato il seguente output (dove POLICY_NAME è un identificatore numerico univoco del criterio assegnato da GCP):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Per delegare l'amministrazione associando un'entità e un ruolo a un criterio di accesso con ambito, utilizza il comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dove:

  • POLICY è l'ID del criterio o dell'identificatore completo del criterio.

  • PRINCIPAL è l'entità a cui aggiungere l'associazione. Specifica nel seguente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, ad esempio roles/accesscontextmanager.policyReader, o l'ID del ruolo personalizzato, ad esempio organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

Server

Per creare un criterio di accesso con ambito, procedi nel seguente modo:

  1. Crea un corpo della richiesta.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }
    

    Dove:

    • ORGANIZATION_ID è l'ID numerico della tua organizzazione.

    • SCOPE è la cartella o il progetto a cui è applicabile questo criterio.

    • POLICY_TITLE è un titolo leggibile per le tue norme. Il titolo del criterio può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo del criterio è sensibile alle maiuscole e deve essere univoco all'interno del criterio di accesso di un'organizzazione.

  2. Crea il criterio di accesso chiamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.

Per delegare l'amministrazione del criterio di accesso con ambito, procedi come segue:

  1. Crea un corpo della richiesta.

    {
     "policy": "IAM_POLICY",
    }
    

    Dove:

    • IAM_POLICY è un insieme di associazioni. Un'associazione collega uno o più membri o entità a un singolo ruolo. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni; ogni ruolo può essere un ruolo IAM predefinito o un ruolo personalizzato creato dall'utente.
  2. Delegare il criterio di accesso chiamando accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo della risposta

In caso di esito positivo, il corpo della risposta contiene un'istanza di policy.

Passaggi successivi