Ruoli e autorizzazioni

In questa pagina vengono descritti i ruoli IAM (Identity and Access Management), ovvero raccolte di Autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle risorse Google Cloud. Per rendere disponibili le autorizzazioni alle entità, tra cui: a utenti, gruppi e account di servizio, devi concedere i ruoli alle entità.

Prima di iniziare

Tipi di ruoli

In IAM esistono tre tipi di ruoli:

  • Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
  • Ruoli predefiniti, che forniscono un accesso granulare a un servizio specifico sono gestiti da Google Cloud.
  • Ruoli personalizzati, che forniscono un accesso granulare in base a un dell'elenco di autorizzazioni.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

Componenti del ruolo

Ciascun ruolo include i seguenti componenti:

  • Titolo: un nome leggibile per il ruolo. Il ruolo .title viene utilizzato per identificare il ruolo nella console Google Cloud.

  • Nome: un identificatore per il ruolo in uno dei seguenti formati:

    • Ruoli predefiniti: roles/SERVICE.IDENTIFIER
    • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
    • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER

    Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.

  • ID: un identificatore univoco per il ruolo. Per le applicazioni di base predefiniti, l'ID corrisponde al nome del ruolo. Per i ruoli personalizzati, L'ID è tutto ciò che segue roles/ nel nome del ruolo.

  • Descrizione: una descrizione leggibile del ruolo.

  • Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio ALPHA, BETA o GA. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.

  • Autorizzazioni: le autorizzazioni incluse nel ruolo. Autorizzazioni consentite per eseguire azioni specifiche sulle risorse Google Cloud. Quando se concedi un ruolo a un'entità, quest'ultima riceve tutte le autorizzazioni nel ruolo.

    Le autorizzazioni hanno il seguente formato:

    SERVICE.RESOURCE.VERB

    Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di loro proprietà e compute.instances.stop consente per l'arresto di una VM.

    In genere, ma non sempre, le autorizzazioni corrispondono a un rapporto 1:1 con i metodi REST. Questo è che a ogni servizio Google Cloud è associata un'autorizzazione il metodo REST di cui dispone. Per chiamare un metodo, l'autore della chiamata deve disporre dell'autorizzazione associata. Ad esempio, per chiamare l'API Pub/Sub, Metodo projects.topics.publish, devi avere il pubsub.topics.publish autorizzazione.

  • ETag: un identificatore della versione del ruolo per aiutarti a impediscono che gli aggiornamenti simultanei si sovrascrivano a vicenda. Di base e predefinita i ruoli hanno sempre l'ETag AA==. Gli ETag per i ruoli personalizzati cambiano ogni volta e modificare i ruoli.

Ruoli di base

I ruoli di base sono ruoli altamente permissivi esistenti prima dell'introduzione di IAM. In origine erano noti come ruoli originari. Tu possono utilizzare i ruoli di base per concedere alle entità accesso ampio a Google Cloud Google Cloud.

Se concedi un ruolo di base a un'entità, quest'ultima riceve tutte le autorizzazioni nel ruolo di base. Riceveranno anche tutte le autorizzazioni dei servizi fornire alle entità con ruoli di base, ad esempio le autorizzazioni acquisite tramite Cloud Storage valori di convenienza e BigQuery appartenenza al gruppo.

La tabella seguente riassume le autorizzazioni concesse agli utenti dai ruoli di base in tutti i servizi Google Cloud:

Ruoli di base Autorizzazioni
Visualizzatore (roles/viewer)

Autorizzazioni per azioni di sola lettura che non influiscono sullo stato, ad esempio visualizzare (ma non modificare) risorse o dati esistenti.

Per un elenco delle autorizzazioni nel ruolo Visualizzatore, consulta i dettagli del ruolo in la console Google Cloud:

Vai al visualizzatore ruolo

Editor (roles/editor)

Tutte le autorizzazioni di visualizzazione, oltre quelle per le azioni che lo stato, ad esempio cambiando risorse esistenti.

Le autorizzazioni nel ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor contengono le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni informazioni su come verificare se un ruolo dispone delle autorizzazioni ti servi, consulta la sezione Tipi di ruolo in questa pagina.

Per un elenco delle autorizzazioni nel ruolo Editor, consulta i dettagli del ruolo in la console Google Cloud:

Vai all'editor ruolo

Proprietario (roles/owner)

Tutte le autorizzazioni di Editor, oltre quelle per azioni come seguenti:

  • Completare attività sensibili, come la creazione di applicazioni App Engine
  • Gestione di ruoli e autorizzazioni per un progetto e tutte le risorse all'interno del progetto
  • Configurazione della fatturazione per un progetto

Il ruolo Proprietario non contiene tutte le autorizzazioni per tutti dell'accesso a specifiche risorse Google Cloud. Ad esempio, non contiene le autorizzazioni per modificare i dati di pagamento di Cloud Billing o creare criteri di rifiuto IAM.

Per un elenco delle autorizzazioni in al ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud:

Vai a Proprietario ruolo

Puoi concedere i ruoli di base utilizzando la console Google Cloud, l'API e con gcloud CLI. Tuttavia, per concedere il ruolo Proprietario di un progetto a un utente al di fuori della tua organizzazione, devi utilizzare la console Google Cloud, non il client gcloud. Se il progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.

Per le istruzioni, consulta l'articolo Concessione, modifica e revoca l'accesso alle app.

Ruoli predefiniti

Oltre ai ruoli di base, IAM offre anche ruoli predefiniti che offrono accesso granulare a specifici Google Cloud. Questi ruoli vengono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni come necessario, ad esempio quando Google Cloud aggiunge nuove funzionalità o nuovi servizi.

Puoi assegnare più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere il ruolo Amministratore rete Compute hanno i ruoli Visualizzatore log in un progetto e hanno anche il ruolo Publisher Pub/Sub in un Pub/Sub all'interno del progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Recupero dei metadati dei ruoli.

Per informazioni sulla scelta dei ruoli predefiniti più appropriati, consulta Scegli i ruoli predefiniti.

Per un elenco dei ruoli predefiniti, consulta i ruoli riferimento.

Ruoli personalizzati

IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, in quanto per garantire che le entità dell'organizzazione abbiano solo le autorizzazioni di cui hanno bisogno.

I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare uno o più ruoli supportati autorizzazioni specifiche per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi assegnare al ruolo ruolo nell'organizzazione o nel progetto, nonché le risorse al suo interno dell'organizzazione o del progetto.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui l'ha creato. Non puoi concedere ruoli personalizzati ad altri progetti o organizzazioni o alle risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più Autorizzazioni IAM.

Autorizzazioni supportate

Nei ruoli personalizzati puoi includere molte autorizzazioni IAM, ma non tutte. Ogni autorizzazione dispone di uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:

Livello di assistenza Descrizione
SUPPORTED L'autorizzazione è completamente supportata nei ruoli personalizzati.
TESTING Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includi l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. No consigliato per l'uso in produzione.
NOT_SUPPORTED L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere uno qualsiasi dei ruoli IAM di autorizzazioni supportate nelle impostazioni ruoli. Un ruolo personalizzato a livello di progetto può Contengono qualsiasi autorizzazione supportata, ad eccezione delle autorizzazioni che possono essere utilizzate a livello di organizzazione o cartella.

Il motivo per cui non puoi includere elementi specifici per la cartella e per l'organizzazione le autorizzazioni nei ruoli a livello di progetto è che non fanno nulla quando vengono concesse a livello di progetto. Questo perché le risorse in Google Cloud sono organizzate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la risorsa della gerarchia, il che significa che sono efficaci per la risorsa e per tutto questo discendenti della risorsa. Tuttavia, le organizzazioni e le cartelle sono sempre dei progetti nel della gerarchia delle risorse Google Cloud. Di conseguenza, non potrai mai utilizzare un'autorizzazione che ti è stata concessa a livello di progetto per accedere alle cartelle le tue organizzazioni. Di conseguenza, i dati sono specifici per le cartelle e per l'organizzazione autorizzazioni, ad esempio resourcemanager.folders.list, sono inefficaci per i ruoli personalizzati a livello di progetto.

Quando utilizzare i ruoli personalizzati

Nella maggior parte dei casi, dovresti essere in grado di utilizzare i ruoli predefiniti anziché i ruoli personalizzati ruoli. I ruoli predefiniti sono gestiti da Google e vengono aggiornati automaticamente quando nuove autorizzazioni, funzionalità o servizi vengono aggiunti a Google Cloud. Nel i ruoli personalizzati non sono gestiti da Google, quando Google Cloud aggiunge nuove autorizzazioni, nuove funzionalità o nuovi servizi, i tuoi ruoli personalizzati aggiornate automaticamente.

Tuttavia, ti consigliamo di creare un ruolo personalizzato nelle seguenti situazioni:

  • Un'entità necessita di un'autorizzazione, ma ogni ruolo predefinito che lo include include anche le autorizzazioni non necessarie all'entità, non dovrebbe avere.
  • Utilizza i suggerimenti sui ruoli per sostituire le concessioni di ruoli eccessivamente permissive con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere suggerimento di creare un ruolo personalizzato.

Tieni inoltre presente i seguenti limiti:

  • I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, le dimensioni totali massime del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato sono le 64 kB.

  • Esistono limiti al numero di ruoli personalizzati che puoi creare:

    • Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione
    • Puoi creare fino a 300 opzioni di personalizzazione ruoli in ogni progetto nella tua organizzazione.

Dipendenze dalle autorizzazioni

Alcune autorizzazioni sono valide solo se assegnate insieme. Ad esempio, per aggiornare un criterio di autorizzazione, devi leggerlo prima di poterlo modificare e scrivere. Di conseguenza, per aggiornare una norma di autorizzazione, è quasi sempre necessario getIamPolicy per il servizio e il tipo di risorsa, oltre al Autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi crearli in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati con attività specifiche in mente e contengono tutte le autorizzazioni che devi svolgere queste attività. L'esame di questi ruoli può aiutarti a capire quali autorizzazioni sono in genere concesse insieme. Poi, puoi utilizzare queste informazioni per progettare ruoli personalizzati.

Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.

Ciclo di vita dei ruoli personalizzati

Le seguenti sezioni descrivono le considerazioni chiave in ogni fase di un durante il ciclo di vita del ruolo. Puoi usare queste informazioni per stabilire le modalità di creazione e e gestire i tuoi ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiuteranno a identificare il ruolo:

  • ID ruolo: l'ID ruolo è un identificatore univoco del ruolo. Può essere fino a È lungo 64 byte e può contenere lettere maiuscole e caratteri alfanumerici minuscoli, trattini bassi e punti. Non puoi riutilizzare un all'interno di un'organizzazione o di un progetto.

    Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ordine personalizzato ma non puoi crearne uno nuovo con lo stesso ID organizzazione o progetto fino al termine dei 44 giorni il processo di eliminazione è stato completato. Per ulteriori informazioni sull'eliminazione consulta l'articolo sull'eliminazione di un ruolo personalizzato.

  • Titolo del ruolo: il titolo del ruolo viene visualizzato nell'elenco dei ruoli della nella console Google Cloud. Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i tuoi ruoli. Inoltre, valuta la possibilità di indicare nel titolo del ruolo se quest'ultimo è stato creato a livello di organizzazione o di progetto.

    I titoli dei ruoli possono contenere fino a 100 byte può contenere caratteri alfanumerici maiuscoli e minuscoli e simboli. Puoi modificare i titoli dei ruoli in qualsiasi momento.

  • Descrizione ruolo: la descrizione del ruolo è un campo facoltativo in cui puoi fornire informazioni aggiuntive su un ruolo. Ad esempio, potresti includere lo scopo previsto del ruolo, la data di creazione o modifica di un ruolo e qualsiasi i ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono essere al massimo 300 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli e simboli.

Mantieni inoltre le dipendenze per le autorizzazioni in quando crei ruoli personalizzati.

Per informazioni su come creare un ruolo personalizzato in base a un ruolo predefinito, consulta la sezione Creazione di e la gestione dei ruoli personalizzati.

Avvia

I ruoli personalizzati includono una fase di avvio come parte dei metadati del ruolo. Il più fasi di lancio comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Questi le fasi di lancio sono a scopo informativo; aiutano a capire se ogni ruolo sono già pronte per un uso diffuso. Un'altra fase di lancio comune è la DISABLED. Questo la fase di avvio consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni: sul ruolo:

  • EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include autorizzazioni per servizi o funzionalità Google Cloud non ancora pubblico. Non è pronta per un uso diffuso.
  • BETA: il ruolo è stato testato in modo limitato o include autorizzazioni per funzionalità o servizi Google Cloud non generalmente disponibili.
  • GA: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni sono relative a Funzionalità o servizi di Google Cloud in disponibilità generale.
  • DEPRECATED: il ruolo non è più in uso.

Per informazioni su come modificare la fase di avvio di un ruolo, consulta Modifica di un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli dei tuoi utenti responsabilità cambiano, così come l'aggiornamento dei ruoli per consentire agli utenti accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato sui ruoli predefiniti, ti consigliamo alla ricerca di modifiche alle autorizzazioni nei ruoli predefiniti. Monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare l'aggiornamento di un ruolo predefinito con le autorizzazioni a utilizzare Visualizza in anteprima la funzionalità e potrebbe decidere di aggiungere queste autorizzazioni al tuo ruolo personalizzato .

Per individuare più facilmente i ruoli predefiniti da monitorare, ti consigliamo di elencare nel campo della descrizione del ruolo personalizzato tutti i ruoli predefiniti su cui si basa il ruolo personalizzato. La console Google Cloud esegue questa operazione automaticamente quando utilizzi la console per creare un ruolo personalizzato in base a quelli predefiniti.

Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta la sezione Modifica un ruolo personalizzato esistente.

Fai riferimento al log delle modifiche delle autorizzazioni per determinare quali ruoli e autorizzazioni sono stati modificati di recente.

Disabilitazione in corso…

Se non vuoi più che alcuna entità della tua organizzazione utilizzi un ruolo personalizzato, puoi disabilitare il ruolo. Per disabilitare il ruolo, modifica la fase di avvio in DISABLED.

I ruoli disabilitati continuano a essere visualizzati nei tuoi criteri IAM e possono essere concessi alle entità, ma non hanno alcun effetto.

Per scoprire come disattivare un ruolo personalizzato, consulta la sezione Disattivare un ruolo personalizzato.

Passaggi successivi