In questa pagina vengono descritti i ruoli IAM (Identity and Access Management), ovvero raccolte di Autorizzazioni IAM.
Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle risorse Google Cloud. Per rendere disponibili le autorizzazioni alle entità, tra cui: a utenti, gruppi e account di servizio, devi concedere i ruoli alle entità.
Prima di iniziare
- Comprendi i concetti di base di IAM.
Tipi di ruoli
In IAM esistono tre tipi di ruoli:
- Ruoli di base, che includono i ruoli Proprietario, Editor e Visualizzatore esistenti prima dell'introduzione di IAM.
- Ruoli predefiniti, che forniscono un accesso granulare a un servizio specifico sono gestiti da Google Cloud.
- Ruoli personalizzati, che forniscono un accesso granulare in base a un dell'elenco di autorizzazioni.
Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:
Visualizza il ruolo nella console Google Cloud.
Esegui
gcloud iam roles describe
. .Ottieni il ruolo utilizzando il metodo API REST appropriato:
- Per i ruoli predefiniti, utilizza
roles.get()
. - Per i ruoli personalizzati a livello di progetto, utilizza
projects.roles.get()
- Per i ruoli personalizzati a livello di organizzazione, utilizza
organizations.roles.get()
.
- Per i ruoli predefiniti, utilizza
Solo per i ruoli di base e predefiniti: cerca nelle autorizzazioni riferimento per verificare se l'autorizzazione viene concessa dal ruolo.
Solo per i ruoli predefiniti: cerca il ruolo predefinito descrizioni per vedere quali autorizzazioni incluse nel ruolo.
Componenti del ruolo
Ciascun ruolo include i seguenti componenti:
- Titolo: un nome leggibile per il ruolo. Il ruolo .title viene utilizzato per identificare il ruolo nella console Google Cloud.
Nome: un identificatore per il ruolo in uno dei seguenti formati:
- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione.
- Ruoli predefiniti:
ID: un identificatore univoco per il ruolo. Per le applicazioni di base predefiniti, l'ID corrisponde al nome del ruolo. Per i ruoli personalizzati, L'ID è tutto ciò che segue
roles/
nel nome del ruolo.Descrizione: una descrizione leggibile del ruolo.
Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio
ALPHA
,BETA
oGA
. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.Autorizzazioni: le autorizzazioni incluse nel ruolo. Autorizzazioni consentite per eseguire azioni specifiche sulle risorse Google Cloud. Quando se concedi un ruolo a un'entità, quest'ultima riceve tutte le autorizzazioni nel ruolo.
Le autorizzazioni hanno il seguente formato:
SERVICE.RESOURCE.VERB
Ad esempio, l'autorizzazione
compute.instances.list
consente a un utente di elencare le istanze Compute Engine di loro proprietà ecompute.instances.stop
consente per l'arresto di una VM.In genere, ma non sempre, le autorizzazioni corrispondono a un rapporto 1:1 con i metodi REST. Questo è che a ogni servizio Google Cloud è associata un'autorizzazione il metodo REST di cui dispone. Per chiamare un metodo, l'autore della chiamata deve disporre dell'autorizzazione associata. Ad esempio, per chiamare l'API Pub/Sub, Metodo
projects.topics.publish
, devi avere ilpubsub.topics.publish
autorizzazione.ETag: un identificatore della versione del ruolo per aiutarti a impediscono che gli aggiornamenti simultanei si sovrascrivano a vicenda. Di base e predefinita i ruoli hanno sempre l'ETag
AA==
. Gli ETag per i ruoli personalizzati cambiano ogni volta e modificare i ruoli.
Ruoli di base
I ruoli di base sono ruoli altamente permissivi esistenti prima dell'introduzione di IAM. In origine erano noti come ruoli originari. Tu possono utilizzare i ruoli di base per concedere alle entità accesso ampio a Google Cloud Google Cloud.
Se concedi un ruolo di base a un'entità, quest'ultima riceve tutte le autorizzazioni nel ruolo di base. Riceveranno anche tutte le autorizzazioni dei servizi fornire alle entità con ruoli di base, ad esempio le autorizzazioni acquisite tramite Cloud Storage valori di convenienza e BigQuery appartenenza al gruppo.
La tabella seguente riassume le autorizzazioni concesse agli utenti dai ruoli di base in tutti i servizi Google Cloud:
Ruoli di base | Autorizzazioni |
---|---|
Visualizzatore (roles/viewer ) |
Autorizzazioni per azioni di sola lettura che non influiscono sullo stato, ad esempio visualizzare (ma non modificare) risorse o dati esistenti. Per un elenco delle autorizzazioni nel ruolo Visualizzatore, consulta i dettagli del ruolo in la console Google Cloud: |
Editor (roles/editor ) |
Tutte le autorizzazioni di visualizzazione, oltre quelle per le azioni che lo stato, ad esempio cambiando risorse esistenti. Le autorizzazioni nel ruolo Editor consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud. Tuttavia, il ruolo Editor contengono le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni informazioni su come verificare se un ruolo dispone delle autorizzazioni ti servi, consulta la sezione Tipi di ruolo in questa pagina. Per un elenco delle autorizzazioni nel ruolo Editor, consulta i dettagli del ruolo in la console Google Cloud: |
Proprietario (roles/owner ) |
Tutte le autorizzazioni di Editor, oltre quelle per azioni come seguenti:
Il ruolo Proprietario non contiene tutte le autorizzazioni per tutti dell'accesso a specifiche risorse Google Cloud. Ad esempio, non contiene le autorizzazioni per modificare i dati di pagamento di Cloud Billing o creare criteri di rifiuto IAM. Per un elenco delle autorizzazioni in al ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud: |
Puoi concedere i ruoli di base utilizzando la console Google Cloud, l'API e con gcloud CLI. Tuttavia, per concedere il ruolo Proprietario di un progetto a un utente al di fuori della tua organizzazione, devi utilizzare la console Google Cloud, non il client gcloud. Se il progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.
Per le istruzioni, consulta l'articolo Concessione, modifica e revoca l'accesso alle app.
Ruoli predefiniti
Oltre ai ruoli di base, IAM offre anche ruoli predefiniti che offrono accesso granulare a specifici Google Cloud. Questi ruoli vengono creati e gestiti da Google. Google aggiorna automaticamente le autorizzazioni come necessario, ad esempio quando Google Cloud aggiunge nuove funzionalità o nuovi servizi.
Puoi assegnare più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere il ruolo Amministratore rete Compute hanno i ruoli Visualizzatore log in un progetto e hanno anche il ruolo Publisher Pub/Sub in un Pub/Sub all'interno del progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Recupero dei metadati dei ruoli.
Per informazioni sulla scelta dei ruoli predefiniti più appropriati, consulta Scegli i ruoli predefiniti.
Per un elenco dei ruoli predefiniti, consulta i ruoli riferimento.
Ruoli personalizzati
IAM consente inoltre di creare ruoli IAM personalizzati. I ruoli personalizzati consentono di applicare il principio del privilegio minimo, in quanto per garantire che le entità dell'organizzazione abbiano solo le autorizzazioni di cui hanno bisogno.
I ruoli personalizzati sono definiti dall'utente e consentono di raggruppare uno o più ruoli supportati autorizzazioni specifiche per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi assegnare al ruolo ruolo nell'organizzazione o nel progetto, nonché le risorse al suo interno dell'organizzazione o del progetto.
Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui l'ha creato. Non puoi concedere ruoli personalizzati ad altri progetti o organizzazioni o alle risorse all'interno di altri progetti o organizzazioni.
Puoi creare un ruolo personalizzato combinando una o più Autorizzazioni IAM.
Autorizzazioni supportate
Nei ruoli personalizzati puoi includere molte autorizzazioni IAM, ma non tutte. Ogni autorizzazione dispone di uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:
Livello di assistenza | Descrizione |
---|---|
SUPPORTED |
L'autorizzazione è completamente supportata nei ruoli personalizzati. |
TESTING |
Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includi l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. No consigliato per l'uso in produzione. |
NOT_SUPPORTED |
L'autorizzazione non è supportata nei ruoli personalizzati. |
Un ruolo personalizzato a livello di organizzazione può includere uno qualsiasi dei ruoli IAM di autorizzazioni supportate nelle impostazioni ruoli. Un ruolo personalizzato a livello di progetto può Contengono qualsiasi autorizzazione supportata, ad eccezione delle autorizzazioni che possono essere utilizzate a livello di organizzazione o cartella.
Il motivo per cui non puoi includere elementi specifici per la cartella e per l'organizzazione
le autorizzazioni nei ruoli a livello di progetto
è che non fanno nulla quando vengono concesse
a livello di progetto. Questo perché le risorse in Google Cloud sono organizzate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la risorsa
della gerarchia, il che significa che sono efficaci per la risorsa e per tutto questo
discendenti della risorsa. Tuttavia, le organizzazioni e le cartelle sono sempre
dei progetti nel
della gerarchia delle risorse Google Cloud. Di conseguenza, non potrai mai utilizzare
un'autorizzazione che ti è stata concessa a livello di progetto per accedere alle cartelle
le tue organizzazioni. Di conseguenza, i dati sono specifici per le cartelle e per l'organizzazione
autorizzazioni, ad esempio resourcemanager.folders.list
, sono
inefficaci per i ruoli personalizzati a livello di progetto.
Quando utilizzare i ruoli personalizzati
Nella maggior parte dei casi, dovresti essere in grado di utilizzare i ruoli predefiniti anziché i ruoli personalizzati ruoli. I ruoli predefiniti sono gestiti da Google e vengono aggiornati automaticamente quando nuove autorizzazioni, funzionalità o servizi vengono aggiunti a Google Cloud. Nel i ruoli personalizzati non sono gestiti da Google, quando Google Cloud aggiunge nuove autorizzazioni, nuove funzionalità o nuovi servizi, i tuoi ruoli personalizzati aggiornate automaticamente.
Tuttavia, ti consigliamo di creare un ruolo personalizzato nelle seguenti situazioni:
- Un'entità necessita di un'autorizzazione, ma ogni ruolo predefinito che lo include include anche le autorizzazioni non necessarie all'entità, non dovrebbe avere.
- Utilizza i suggerimenti sui ruoli per sostituire le concessioni di ruoli eccessivamente permissive con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere suggerimento di creare un ruolo personalizzato.
Tieni inoltre presente i seguenti limiti:
- I ruoli personalizzati possono contenere fino a 3000 autorizzazioni. Inoltre, le dimensioni totali massime del titolo, della descrizione e dei nomi delle autorizzazioni per un ruolo personalizzato sono le 64 kB.
Esistono limiti al numero di ruoli personalizzati che puoi creare:
- Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione
- Puoi creare fino a 300 opzioni di personalizzazione ruoli in ogni progetto nella tua organizzazione.
Dipendenze dalle autorizzazioni
Alcune autorizzazioni sono valide solo se assegnate insieme. Ad esempio, per
aggiornare un criterio di autorizzazione, devi leggerlo prima di poterlo modificare
e scrivere. Di conseguenza, per aggiornare una norma di autorizzazione, è quasi sempre necessario
getIamPolicy
per il servizio e il tipo di risorsa, oltre al
Autorizzazione setIamPolicy
.
Per assicurarti che i ruoli personalizzati siano efficaci, puoi crearli in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati con attività specifiche in mente e contengono tutte le autorizzazioni che devi svolgere queste attività. L'esame di questi ruoli può aiutarti a capire quali autorizzazioni sono in genere concesse insieme. Poi, puoi utilizzare queste informazioni per progettare ruoli personalizzati.
Per informazioni su come creare un ruolo personalizzato basato su un ruolo predefinito, consulta Creazione e gestione di ruoli personalizzati.
Ciclo di vita dei ruoli personalizzati
Le seguenti sezioni descrivono le considerazioni chiave in ogni fase di un durante il ciclo di vita del ruolo. Puoi usare queste informazioni per stabilire le modalità di creazione e e gestire i tuoi ruoli personalizzati.
Creazione
Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiuteranno a identificare il ruolo:
ID ruolo: l'ID ruolo è un identificatore univoco del ruolo. Può essere fino a È lungo 64 byte e può contenere lettere maiuscole e caratteri alfanumerici minuscoli, trattini bassi e punti. Non puoi riutilizzare un all'interno di un'organizzazione o di un progetto.
Non puoi modificare gli ID ruolo, quindi sceglili con attenzione. Puoi eliminare un ordine personalizzato ma non puoi crearne uno nuovo con lo stesso ID organizzazione o progetto fino al termine dei 44 giorni il processo di eliminazione è stato completato. Per ulteriori informazioni sull'eliminazione consulta l'articolo sull'eliminazione di un ruolo personalizzato.
Titolo del ruolo: il titolo del ruolo viene visualizzato nell'elenco dei ruoli della nella console Google Cloud. Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i tuoi ruoli. Inoltre, valuta la possibilità di indicare nel titolo del ruolo se quest'ultimo è stato creato a livello di organizzazione o di progetto.
I titoli dei ruoli possono contenere fino a 100 byte può contenere caratteri alfanumerici maiuscoli e minuscoli e simboli. Puoi modificare i titoli dei ruoli in qualsiasi momento.
Descrizione ruolo: la descrizione del ruolo è un campo facoltativo in cui puoi fornire informazioni aggiuntive su un ruolo. Ad esempio, potresti includere lo scopo previsto del ruolo, la data di creazione o modifica di un ruolo e qualsiasi i ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono essere al massimo 300 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli e simboli.
Mantieni inoltre le dipendenze per le autorizzazioni in quando crei ruoli personalizzati.
Per informazioni su come creare un ruolo personalizzato in base a un ruolo predefinito, consulta la sezione Creazione di e la gestione dei ruoli personalizzati.
Avvia
I ruoli personalizzati includono una fase di avvio come parte dei metadati del ruolo. Il più
fasi di lancio comuni per i ruoli personalizzati sono ALPHA
, BETA
e GA
. Questi
le fasi di lancio sono a scopo informativo; aiutano a capire se ogni ruolo
sono già pronte per un uso diffuso. Un'altra fase di lancio comune è la DISABLED
. Questo
la fase di avvio consente di disattivare un ruolo personalizzato.
Ti consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni: sul ruolo:
EAP
oALPHA
: il ruolo è ancora in fase di sviluppo o test oppure include autorizzazioni per servizi o funzionalità Google Cloud non ancora pubblico. Non è pronta per un uso diffuso.BETA
: il ruolo è stato testato in modo limitato o include autorizzazioni per funzionalità o servizi Google Cloud non generalmente disponibili.GA
: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni sono relative a Funzionalità o servizi di Google Cloud in disponibilità generale.DEPRECATED
: il ruolo non è più in uso.
Per informazioni su come modificare la fase di avvio di un ruolo, consulta Modifica di un ruolo personalizzato esistente.
Manutenzione
Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli dei tuoi utenti responsabilità cambiano, così come l'aggiornamento dei ruoli per consentire agli utenti accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.
Se basi il tuo ruolo personalizzato sui ruoli predefiniti, ti consigliamo alla ricerca di modifiche alle autorizzazioni nei ruoli predefiniti. Monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare l'aggiornamento di un ruolo predefinito con le autorizzazioni a utilizzare Visualizza in anteprima la funzionalità e potrebbe decidere di aggiungere queste autorizzazioni al tuo ruolo personalizzato .
Per individuare più facilmente i ruoli predefiniti da monitorare, ti consigliamo di elencare nel campo della descrizione del ruolo personalizzato tutti i ruoli predefiniti su cui si basa il ruolo personalizzato. La console Google Cloud esegue questa operazione automaticamente quando utilizzi la console per creare un ruolo personalizzato in base a quelli predefiniti.
Per informazioni su come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, consulta la sezione Modifica un ruolo personalizzato esistente.
Fai riferimento al log delle modifiche delle autorizzazioni per determinare quali ruoli e autorizzazioni sono stati modificati di recente.
Disabilitazione in corso…
Se non vuoi più che alcuna entità della tua organizzazione utilizzi un ruolo personalizzato,
puoi disabilitare il ruolo. Per disabilitare il ruolo, modifica la fase di avvio in
DISABLED
.
I ruoli disabilitati continuano a essere visualizzati nei tuoi criteri IAM e possono essere concessi alle entità, ma non hanno alcun effetto.
Per scoprire come disattivare un ruolo personalizzato, consulta la sezione Disattivare un ruolo personalizzato.
Passaggi successivi
- Scopri come concedere i ruoli IAM alle entità.
- Scopri come scegli i ruoli predefiniti più appropriati.
- Scopri come creare ruoli personalizzati.
- Utilizza lo strumento per la risoluzione dei problemi relativi ai criteri per capire perché un utente o non ha accesso a una risorsa o non dispone dell'autorizzazione per chiamare un'API.