Configurazione di policy IAM

Questa pagina descrive come configurare le policy Identity and Access Management (IAM) che consentono ai membri di creare e gestire le risorse di Certificate Authority Service. Per saperne di più su IAM, consulta la panoramica di IAM.

Policy IAM generali

In CA Service, concedi ruoli IAM a utenti o service account per la creazione e la gestione delle risorse di CA Service. Puoi aggiungere queste associazioni di ruoli ai seguenti livelli:

  • A livello di pool di CA per gestire l'accesso a un pool di CA specifico e alle CA in quel pool di CA.
  • A livello di progetto o di organizzazione per concedere l'accesso a tutti i pool di CA nell'ambito.

I ruoli vengono ereditati, se concessi a un livello di risorsa superiore. Ad esempio, un utente a cui è stato concesso il ruolo Revisore (roles/privateca.auditor) a livello di progetto può visualizzare tutte le risorse del progetto. Le policy IAM impostate su un pool di autorità di certificazione (CA) vengono ereditate da tutte le CA nel pool di CA.

I ruoli IAM non possono essere concessi a certificati e risorse CA.

Policy IAM condizionali

Se hai un pool di CA condiviso che potrebbe essere utilizzato da più utenti autorizzati a richiedere diversi tipi di certificati, puoi definire le condizioni IAM per applicare l'accesso basato sugli attributi per eseguire determinate operazioni su un pool di CA.

Le associazioni di ruoli condizionali IAM consentono di concedere l'accesso alle entità solo se sono soddisfatte le condizioni specificate. Ad esempio, se il ruolo Richiedente certificati è associato all'utente alice@example.com in un pool di CA con la condizione che i SAN DNS richiesti siano un sottoinsieme di ['alice@example.com', 'bob@example.com'], l'utente può richiedere certificati dallo stesso pool di CA solo se il SAN richiesto è uno dei due valori consentiti. Puoi impostare le condizioni sulle associazioni IAM utilizzando le espressioni CEL (Common Expression Language). Queste condizioni possono aiutarti a limitare ulteriormente il tipo di certificati che un utente può richiedere. Per informazioni sull'utilizzo delle espressioni CEL per le condizioni IAM, consulta Dialetto CEL (Common Expression Language) per le policy IAM.

Prima di iniziare

  • Abilita l'API.
  • Crea una CA e un pool di CA seguendo le istruzioni in una delle guide rapide.
  • Scopri i ruoli IAM disponibili per Certificate Authority Service.

Configurazione delle associazioni di policy IAM a livello di progetto

I seguenti scenari descrivono come puoi concedere agli utenti l'accesso alle risorse di CA Service a livello di progetto.

Gestione delle risorse

Un amministratore di CA Service (roles/privateca.admin) dispone delle autorizzazioni per gestire tutte le risorse di CA Service e impostare le policy IAM su pool di CA e modelli di certificato.

Per assegnare il ruolo Amministratore di CA Service (roles/privateca.admin) a un utente a livello di progetto, segui queste istruzioni:

Console

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Amministratore di CA Service.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: l'utente o account di servizio a cui vuoi assegnare il ruolo Amministratore di CA Service.

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Creazione delle risorse

Un responsabile delle operazioni di CA Service (roles/privateca.caManager) può creare, aggiornare ed eliminare pool di CA e CA. Questo ruolo consente inoltre al chiamante di revocare i certificati emessi dalle CA nel pool di CA.

Per assegnare il ruolo Responsabile delle operazioni di CA Service (roles/privateca.caManager) a un utente a livello di progetto, segui queste istruzioni:

Console

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Responsabile delle operazioni di CA Service.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: l'utente o il account di servizio a cui vuoi aggiungere il ruolo IAM.

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Per saperne di più sul comando gcloud projects add-iam-policy-binding, consulta gcloud projects add-iam-policy-binding.

Facoltativamente, la creazione di una CA utilizzando una chiave Cloud KMS esistente richiede anche che il chiamante sia un amministratore della chiave Cloud KMS.

L'amministratore di Cloud KMS (roles/cloudkms.admin) ha accesso completo a tutte le risorse Cloud KMS, ad eccezione delle operazioni di crittografia e decrittografia. Per saperne di più sui ruoli IAM per Cloud KMS, consulta Cloud KMS: autorizzazioni e ruoli.

Per concedere il ruolo Amministratore di Cloud KMS (roles/cloudkms.admin) a un utente, segui queste istruzioni:

Console

  1. Nella Google Cloud console, vai alla pagina Cloud Key Management Service.

    Vai a Cloud Key Management Service

  2. In Chiavi automatizzate, fai clic sulla chiave automatizzata che contiene la chiave di firma della CA.

  3. Fai clic sulla chiave che è la chiave di firma della CA.

  4. Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  5. Fai clic su Aggiungi entità.

  6. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  7. Nell'elenco Seleziona un ruolo, seleziona il ruolo Amministratore di Cloud KMS.

  8. Fai clic su Salva.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Sostituisci quanto segue:

  • KEY: l'identificatore univoco della chiave.
  • KEYRING: la chiave automatizzata che contiene la chiave. Per saperne di più sulle chiavi automatizzate, consulta Chiavi automatizzate.
  • MEMBER: l'utente o il account di servizio a cui vuoi aggiungere l'associazione IAM.

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Per saperne di più sul comando gcloud kms keys add-iam-policy-binding, consulta gcloud kms keys add-iam-policy-binding.

Risorse di audit

Un revisore di CA Service (roles/privateca.auditor) ha accesso in lettura a tutte le risorse di CA Service. Se concesso per un pool di CA specifico, concede l'accesso in lettura al pool di CA. Se il pool di CA è nel livello Enterprise, l'utente con questo ruolo può anche visualizzare i certificati e gli elenchi di revoca dei certificati emessi dalle CA nel pool di CA. Assegna questo ruolo alle persone responsabili della convalida della sicurezza e delle operazioni del pool di CA.

Per assegnare il ruolo Revisore di CA Service (roles/privateca.auditor) a un utente a livello di progetto, segui queste istruzioni:

Console

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a Identity and Access Management

  2. Seleziona il progetto.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Revisore di CA Service.

  6. Fai clic su Salva.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore univoco del progetto.
  • MEMBER: l'identificatore univoco dell'utente a cui vuoi assegnare il ruolo Revisore di CA Service (roles/privateca.auditor).

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Configurazione delle associazioni di policy IAM a livello di risorsa

Questa sezione descrive come configurare le associazioni di policy IAM per una risorsa specifica in CA Service.

Gestione dei pool di autorità di certificazione

Puoi concedere il ruolo Amministratore di CA Service (roles/privateca.admin) a livello di risorsa per gestire un pool di CA o un modello di certificato specifico.

Console

  1. Nella Google Cloud console, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestore pool di CA e seleziona il pool di CA per cui vuoi concedere le autorizzazioni.

  3. Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  6. Nell'elenco Seleziona un ruolo, seleziona il ruolo Amministratore di CA Service.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato sulla risorsa del pool di CA.

gcloud

Per impostare la policy IAM, esegui il seguente comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA per cui vuoi impostare la policy IAM.
  • LOCATION: la località del pool di CA. Per l' elenco completo delle località, consulta Località.
  • MEMBER: l'utente o account di servizio a cui vuoi assegnare il ruolo IAM.

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Per saperne di più sul comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.

Segui gli stessi passaggi per concedere il ruolo Amministratore di CA Service su un modello di certificato.

Puoi anche concedere il ruolo Responsabile delle operazioni di CA Service (roles/privateca.caManager) su un pool di CA specifico. Questo ruolo consente al chiamante di revocare i certificati emessi dalle CA nel pool di CA.

Console

  1. Nella Google Cloud console, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestore pool di CA e seleziona il pool di CA per cui vuoi concedere le autorizzazioni.

  3. Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  6. Nell'elenco Seleziona un ruolo, seleziona il ruolo Responsabile delle operazioni di CA Service.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato sulla risorsa del pool di CA a cui appartiene la CA.

gcloud

Per concedere il ruolo per un pool di CA specifico, esegui il seguente comando gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA.
  • LOCATION: la località del pool di CA. Per l' elenco completo delle località, consulta Località.
  • MEMBER: l'identificatore univoco dell'utente a cui vuoi assegnare il ruolo Responsabile delle operazioni di CA Service (roles/privateca.caManager).

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Per saperne di più sul comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.

Creazione di certificati

Concedi il ruolo Gestore certificati di CA Service (roles/privateca.certificateManager) agli utenti per consentire loro di inviare richieste di emissione di certificati a un pool di CA. Questo ruolo concede anche l'accesso in lettura alle risorse di CA Service. Per consentire solo la creazione di certificati senza accesso in lettura, concedi il ruolo Richiedente certificati di CA Service (roles/privateca.certificateRequester). Per saperne di più sui ruoli IAM per CA Service, consulta Controllo dell'accesso con IAM.

Per concedere all'utente l'accesso per creare certificati per una CA specifica, segui queste istruzioni.

Console

  1. Nella Google Cloud console, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic su Gestore pool di CA e seleziona il pool di CA per cui vuoi concedere le autorizzazioni.

  3. Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  6. Nell'elenco Seleziona un ruolo, seleziona il ruolo Gestore certificati di CA Service.

  7. Fai clic su Salva. All'entità viene concesso il ruolo selezionato sulla risorsa del pool di CA a cui appartiene la CA.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Sostituisci quanto segue:

  • POOL_ID: l'identificatore univoco del pool di CA.
  • LOCATION: la località del pool di CA. Per l' elenco completo delle località, consulta Località.
  • MEMBER: l'identificatore univoco dell'utente a cui vuoi assegnare il ruolo Gestore certificati di CA Service (roles/privateca.certificateManager).

Il flag --role specifica il ruolo IAM che vuoi assegnare al membro.

Aggiunta di associazioni di policy IAM a un modello di certificato

Per aggiungere una policy IAM a un modello di certificato specifico, segui queste istruzioni:

Console

  1. Nella Google Cloud console, vai alla pagina Certificate Authority Service.

    Vai a Certificate Authority Service

  2. Fai clic sulla scheda Gestore modelli e seleziona il modello di certificato per cui vuoi concedere le autorizzazioni.

  3. Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.

  4. Fai clic su Aggiungi entità.

  5. Nel campo Nuove entità, inserisci l'indirizzo email o un altro identificatore dell'entità.

  6. Seleziona un ruolo da concedere dall'elenco a discesa Seleziona un ruolo.

  7. Fai clic su Salva.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la località del modello di certificato. Per l'elenco completo delle località, consulta Località.
  • MEMBER: l'utente o account di servizio a cui vuoi aggiungere l'associazione di policy IAM.
  • ROLE: il ruolo che vuoi concedere al membro.

Per saperne di più sul comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.

Per saperne di più sulla modifica del ruolo IAM di un utente, consulta Concessione dell'accesso.

Rimozione delle associazioni di policy IAM

Puoi rimuovere un'associazione di policy IAM esistente utilizzando il comando remove-iam-policy-binding della Google Cloud CLI.

Per rimuovere una policy IAM su un pool di CA specifico, utilizza il seguente comando gcloud:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la località del pool di CA. Per l' elenco completo delle località, consulta Località.
  • MEMBER: l'utente o account di servizio a cui vuoi rimuovere l'associazione di policy IAM.
  • ROLE: il ruolo che vuoi rimuovere per il membro.

Per saperne di più sul comando gcloud privateca pools remove-iam-policy-binding, consulta gcloud privateca pools remove-iam-policy-binding.

Per rimuovere una policy IAM su un modello di certificato specifico, utilizza il seguente comando gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Sostituisci quanto segue:

  • LOCATION: la località del modello di certificato. Per l'elenco completo delle località, consulta Località.
  • MEMBER: l'utente o account di servizio a cui vuoi rimuovere l'associazione di policy IAM.
  • ROLE: il ruolo che vuoi rimuovere per il membro.

Per saperne di più sul comando gcloud privateca templates remove-iam-policy-binding, consulta gcloud privateca templates remove-iam-policy-binding.

Per saperne di più sulla rimozione del ruolo IAM di un utente, consulta Revoca dell'accesso.

Passaggi successivi