Panoramica del controllo dell'accesso

Quando crei un progetto Google Cloud , sei l'unico responsabile del progetto. Per impostazione predefinita, nessun altro principal (utenti, gruppi o service account) ha accesso al tuo progetto o alle sue risorse. Dopo aver eseguito il provisioning di Application Integration nel tuo progetto, puoi aggiungere nuovi principal e impostare controllo dell'accesso per le tue risorse Application Integration.

Application Integration utilizza Identity and Access Management (IAM) per gestire controllo dell'accesso all'interno del progetto. Puoi utilizzare IAM per gestire l'accesso a livello di progetto o di risorsa:

  • Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità.
  • Per concedere l'accesso a una risorsa specifica, imposta una policy IAM su quella risorsa. La risorsa deve supportare i criteri a livello di risorsa. La policy definisce quali ruoli vengono assegnati a quali entità.

Ruoli IAM

A ogni entità nel tuo Google Cloud progetto viene concesso un ruolo con autorizzazioni specifiche. Quando aggiungi un'entità a un progetto o a una risorsa, specifichi i ruoli da concedergli. Ogni ruolo IAM contiene un insieme di autorizzazioni che consentono all'entità di eseguire azioni specifiche sulla risorsa.

Per saperne di più sui diversi tipi di ruoli in IAM, consulta la sezione Informazioni sui ruoli.

Per informazioni sulla concessione dei ruoli alle entità, consulta Concessione, modifica e revoca dell'accesso.

Application Integration fornisce un insieme specifico di ruoli IAM predefiniti. Puoi utilizzare questi ruoli per fornire l'accesso a risorse Application Integration specifiche e impedire l'accesso indesiderato ad altre risorse Google Cloud.

Service account

I service account sono account Google Cloud associati al tuo progetto che possono eseguire attività o operazioni per tuo conto. A service account vengono assegnati ruoli e autorizzazioni nello stesso modo dei principal, utilizzando IAM. Per saperne di più sui service account e sui diversi tipi di service account, consulta Service account IAM.

Devi concedere i ruoli IAM appropriati a un service account per consentire a questo account di servizio di accedere ai metodi dell'API pertinenti. Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato il account di servizio avrà l'autorizzazione conferita da quel ruolo. Se non esiste un ruolo predefinito per il livello di accesso che ti interessa, puoi creare e concedere ruoli personalizzati.

Application Integration utilizza due tipi di service account:

Service account gestito dall'utente

Un account di servizio gestito dall'utente può essere collegato a un'integrazione per fornire le credenziali per l'esecuzione dell'attività. Per saperne di più, vedi Service account gestiti dall'utente.

L'autorizzazione fornita all'integrazione è limitata da due configurazioni distinte: i ruoli concessi al service account collegato e gli ambiti di accesso. Entrambe queste configurazioni devono consentire l'accesso prima che l'integrazione possa eseguire l'attività.

Un account di servizio gestito dall'utente ha il seguente indirizzo email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Service account predefinito

I nuovi progetti Google Cloud di cui è stato eseguito il provisioning di Application Integration hanno un service account predefinito di Application Integration con il seguente indirizzo email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

L'account di servizio predefinito di Application Integration viene creato durante il provisioning e aggiunto automaticamente al tuo progetto con i ruoli e le autorizzazioni IAM di base. Per saperne di più, consulta Service account predefiniti.

Per informazioni sulla concessione di ruoli o autorizzazioni aggiuntivi al account di servizio predefinito, vedi Concessione, modifica e revoca dell'accesso.

Aggiungere un account di servizio

Application Integration offre due modi per aggiungere un account di servizio all'integrazione:

Regola di autenticazione

Se la tua integrazione ha configurato sia il profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per impostazione predefinita viene utilizzato il profilo OAuth 2.0 per l'autenticazione. Se non è configurato né il profilo OAuth 2.0 né il account di servizio gestito dall'utente, viene utilizzato il account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se l'attività non utilizza il account di servizio predefinito, l'esecuzione non va a buon fine.

Regola di autorizzazione

Se colleghi un account di servizio all'integrazione, devi determinare il livello di accesso del account di servizio in base ai ruoli IAM che concedi al service account. Se il account di servizio non ha ruoli IAM, non è possibile accedere alle risorse utilizzando ilaccount di serviziot.

Gli ambiti di accesso possono limitare ulteriormente l'accesso ai metodi dell'API durante l'autenticazione tramite OAuth. Tuttavia, non si applicano ad altri protocolli di autenticazione come gRPC.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un service account per consentire a questo account di servizio di accedere ai metodi dell'API pertinenti.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato il account di servizio avrà l'autorizzazione conferita da quel ruolo.

Ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per l'integrazione. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste da gcloud CLI o dalle librerie client. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, vedi Ambiti OAuth 2.0 per le API di Google. Per i service account gestiti dall'utente, l'ambito è predefinito sul seguente ambito:

https://www.googleapis.com/auth/cloud-platform