Autorizzazione e controllo degli accessi

Identity and Access Management (IAM) è uno strumento che ti consente di controllare chi può fare cosa nel tuo ambiente Google Cloud .

L'accesso è controllato dalle autorizzazioni IAM, necessarie per lavorare con qualsiasi risorsa in un ambiente Google Cloud . Quando ti vengono concesse le autorizzazioni per lavorare con una risorsa, sei autorizzato ad accedere a quella risorsa. Senza l'autorizzazione appropriata, non puoi accedere alle risorse Google Cloud.

Autorizzazioni e ruoli

Per lavorare con una risorsa, il tuo account utente deve disporre delle autorizzazioni pertinenti per accedere alla risorsa.

In genere, l'amministratore IAM è responsabile del controllo dell'accesso alle risorse. L'amministratore può concederti le autorizzazioni per accedere a una singola risorsa o a tutte le risorse di un progetto, una cartella o un'organizzazione. Gli amministratori concedono le autorizzazioni pertinenti al tuo account utente in bundle chiamati ruoli. Se il tuo account utente ha un ruolo con le autorizzazioni appropriate, puoi utilizzarlo per accedere alle risorse. Google Cloud

In genere, il flusso di lavoro per eseguire un'azione su qualsiasi risorsa nel tuo ambienteGoogle Cloud è il seguente:

1. Vuoi eseguire un'azione su una risorsa, ad esempio caricare un oggetto in un bucket Cloud Storage, ma non disponi delle autorizzazioni appropriate. Senza le autorizzazioni, non puoi eseguire l'azione.
2. Puoi richiedere le autorizzazioni necessarie all'amministratore IAM tramite il tuo sistema di gestione delle richieste preferito o direttamente dal messaggio di errore relativo alle autorizzazioni nella console Google Cloud .
3. L'amministratore IAM concede un ruolo che contiene le autorizzazioni appropriate al tuo account utente. Ora puoi eseguire l'azione.

Utilizzo di IAM come amministratore

In genere, gli amministratori sono responsabili dell'assegnazione dei ruoli agli utenti in modo che possano accedere alle risorse Google Cloud . Gli utenti sono rappresentati da identità autenticate note come principali.

La concessione di ruoli a un'entità su una risorsa comporta la modifica del criterio di autorizzazione associato alla risorsa. Le policy di autorizzazione elencano le entità che hanno accesso alla risorsa e le azioni che possono eseguire sulla risorsa. IAM utilizza le policy di autorizzazione per determinare se un'entità dispone delle autorizzazioni necessarie per accedere alla risorsa. Pertanto, per concedere a un'entità l'accesso a una risorsa specifica, devi aggiornare il criterio di autorizzazione per la risorsa con l'entità e i ruoli che vuoi concedere.

Gli amministratori possono concedere ruoli alle entità sui seguenti tipi di risorse:

• Progetti, cartelle e organizzazioni: queste risorse sono i container utilizzati per strutturare la gerarchia delle risorse. I ruoli che concedi su queste risorse contenitore si applicano a tutte le risorse specifiche del servizio che contengono.
• Risorse specifiche del servizio: queste risorse sono le funzionalità o i componenti offerti da un servizio. Ad esempio, Compute Engine ha risorse come istanze, dischi e subnet. La concessione di ruoli per una risorsa specifica del servizio fornisce un controllo dell'accesso più granulare rispetto alla concessione di ruoli per una risorsa contenitore, perché limita l'accesso di un utente solo a quella risorsa.

Controllo dell'accesso avanzato con IAM

Le policy di autorizzazione sono il metodo più comune per controllare l'accesso a un ambienteGoogle Cloud con IAM. Tuttavia, IAM offre anche altre opzioni più avanzate percontrollo dell'accesso'accesso, tra cui:

• Altri tipi di policy, come le policy di negazione e di Principal Access Boundary
• Controlli dell'accesso basati su attributi condizionali
• Controlli dell'accesso temporaneo come Privileged Access Manager (PAM)

Altre forme di controllo dell'accesso'accesso

Sebbene IAM sia il metodo principale di controllo dell'accesso dell'accesso per Google Cloud, esistono altri servizi Google Cloud che possono influire sull'accesso di un utente alle risorse.

Di seguito sono riportati alcuni esempi di altri servizi che possono influire sull'accesso di un utente:

• Gestore contesto accesso: Gestore contesto accesso consente di definire un controllo dell'accesso granulare e basato sugli attributi per progetti e risorse in Google Cloud.
• Identity-Aware Proxy (IAP): IAP utilizza un modello di controllo dell'accesso dell'accesso a livello di applicazione in cui viene stabilito un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS.
• Servizio Policy dell'organizzazione: La policy dell'organizzazione ti consente di configurare i vincoli nella gerarchia delle risorse per offrirti un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione.
• Controlli di servizio VPC: I Controlli di servizio VPC consentono di definire perimetri che contribuiscono a proteggere le risorse e i dati dei servizi che specifichi in modo esplicito. Google Cloud Google Cloud

Passaggi successivi

• Per una descrizione più approfondita del sistema IAM e del suo funzionamento, consulta la pagina Panoramica di IAM nella documentazione di IAM.
• Per informazioni sui messaggi di errore IAM, consulta Risoluzione dei problemi relativi ai messaggi di errore di autorizzazione nella documentazione IAM.