Gruppi di utenti e ruoli Identity and Access Management consigliati

La tabella seguente descrive i ruoli Identity and Access Management (IAM) che consigliamo come punto di partenza per l'esecuzione dei carichi di lavoro su Google Cloud. Configura i ruoli IAM per implementare la separazione dei compiti all'interno del tuo ambiente e per allinearti alla tua propensione al rischio e alla struttura organizzativa.

Quando assegni questi ruoli ai gruppi di utenti della tua organizzazione, valuta dove devi applicare ruoli più granulari per soddisfare requisiti specifici di casi d'uso e accesso ai dati. Per gli ambienti in cui vengono utilizzati dati altamente sensibili (ad esempio, se utilizzi dati sensibili per addestrare i modelli), consulta Importare dati in un data warehouse BigQuery protetto per maggiori informazioni sui ruoli che puoi utilizzare per consentire l'accesso ai dati archiviati.

La tabella seguente descrive i suggerimenti sui ruoli. Applica i suggerimenti di base e quelli specifici per il caso d'uso, a seconda delle esigenze.

Servizio Gruppo Descrizione Ruoli IAM

Di base

grp-gcp-org-admin

Questo gruppo amministra le risorse appartenenti all'organizzazione. Assegna questo ruolo con parsimonia. Gli amministratori dell'organizzazione hanno accesso a tutte le tue Google Cloud risorse. In alternativa, poiché questa funzione è altamente privilegiata, valuta la possibilità di utilizzare account individuali anziché creare un gruppo.
  • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
  • Amministratore cartelle (roles/resourcemanager.folderAdmin)
  • Autore progetto (roles/resourcemanager.projectCreator)
  • Utente account di fatturazione (roles/billing.user)
  • Amministratore dei ruoli dell'organizzazione (roles/iam.organizationRoleAdmin)
  • Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  • Amministratore di Security Command Center (roles/securitycenter.admin)
  • Amministratore account di assistenza (roles/cloudsupport.admin)

Di base

grp-gcp-network-admins

Questo gruppo può creare reti, subnet, regole firewall e dispositivi di rete come router Cloud, Cloud VPN e bilanciatori del carico cloud.
  • Amministratore di rete Compute (roles/compute.networkAdmin)
  • Amministratore VPC condiviso Compute (roles/compute.xpnAdmin)
  • Amministratore della sicurezza Compute (roles/compute.securityAdmin)
  • Visualizzatore cartelle (roles/resourcemanager.folderViewer)

Di base

grp-gcp-billing-admin

Questo gruppo configura gli account di fatturazione e ne monitora l'utilizzo.
  • Amministratore account di fatturazione (roles/billing.admin)
  • Creatore account di fatturazione (roles/billing.creator)
  • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)

Di base

grp-gcp-security-admins

Questo gruppo stabilisce e gestisce le policy di sicurezza per l'intera organizzazione, tra cui policy di gestione degli accessi e vincoli dell'organizzazione. Per pianificare l'infrastruttura di sicurezza Google Cloud , consulta il progetto della piattaforma aziendale.
  • Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
  • Visualizzatore Compute (roles/compute.viewer)
  • Amministratore IAM della cartella (roles/resourcemanager.folderIamAdmin)
  • Visualizzatore di Kubernetes Engine (roles/container.viewer)
  • Autore della configurazione dei log (roles/logging.configWriter)
  • Visualizzatore dei ruoli dell'organizzazione (roles/iam.organizationRoleViewer)
  • Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  • Visualizzatore delle policy dell'organizzazione (roles/orgpolicy.policyViewer)
  • Visualizzatore dei log privati (roles/logging.privateLogViewer)
  • Amministratore di Security Command Center (roles/securitycenter.admin)
  • Revisore della sicurezza (roles/iam.securityReviewer)

Di base

grp-gcp-billing-viewer

Questo gruppo monitora la spesa per i progetti. In genere, i membri del gruppo fanno parte del team finanziario.
  • Visualizzatore account di fatturazione (roles/billing.viewer)

Di base

grp-gcp-platform-viewer

Questo gruppo esamina le informazioni sulle risorse dell' Google Cloud organizzazione.
  • Visualizzatore (roles/viewer)

Di base

grp-gcp-security-reviewer

Questo gruppo esamina la sicurezza del cloud.
  • Revisore della sicurezza (roles/iam.securityReviewer)

Di base

grp-gcp-network-viewer

Questo gruppo esamina le configurazioni di rete.
  • Visualizzatore di rete Compute (roles/compute.networkViewer)

Di base

grp-gcp-audit-viewer

Questo gruppo visualizza i log di controllo.
  • Visualizzatore dei log privati (roles/logging.privateLogViewer)
  • Visualizzatore (roles/viewer)

Di base

grp-gcp-scc-admin

Questo gruppo amministra Security Command Center.
  • Amministratore di Security Command Center (roles/securitycenter.admin)

Di base

grp-gcp-secrets-admin

Questo gruppo gestisce i secret in Secret Manager.
  • Amministratore di Secret Manager (roles/secretmanager.admin)

Amministratori di Agent Platform

grp-gcp-vertex-ai-admin

Questo gruppo ha accesso completo a tutte le risorse in Agent Platform.
  • Amministratore di Vertex AI (roles/aiplatform.admin)

Visualizzatori di Agent Platform

grp-gcp-vertex-ai-viewer

Questo gruppo visualizza tutte le risorse in Agent Platform.
  • Visualizzatore di Vertex AI (roles/aiplatform.viewer)

Utenti di Agent Platform

grp-gcp-vertex-ai-user

Questo gruppo utilizza tutte le risorse in Agent Platform.
  • Utente di Vertex AI (roles/aiplatform.user)

Amministratori di Agent Platform Workbench

grp-gcp-vertex-ai-notebook-admin

Questo gruppo ha accesso completo a tutti i modelli e runtime in Agent Platform Workbench.
  • Amministratore del runtime dei notebook (roles/aiplatform.notebookRuntimeAdmin)

Utenti di Agent Platform Workbench

grp-gcp-vertex-ai-notebook-user

Questo gruppo crea risorse di runtime utilizzando un modello di runtime e gestisce le risorse di runtime che ha creato.
  • Utente del runtime dei notebook (roles/aiplatform.notebookRuntimeUser)

Passaggi successivi