Ruoli e autorizzazioni

Google Cloud offre Identity and Access Management (IAM) per consentirti di fornire un accesso più granulare a risorse Google Cloud specifiche e impedire l'accesso ad altre risorse. Questa pagina descrive i ruoli e le autorizzazioni per Service Extensions.

Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.

I ruoli sono raccolte di autorizzazioni IAM. Per rendere disponibili le autorizzazioni alle entità, inclusi utenti, gruppi e service account, devi concedere ruoli alle entità. Puoi controllare chi ha quali autorizzazioni per quali risorse impostando i criteri IAM. Le policy IAM assegnano ruoli specifici alle entità, concedendo a queste ultime determinate autorizzazioni.

Per informazioni dettagliate sui ruoli IAM, consulta Ruoli e autorizzazioni.

Ruoli e autorizzazioni predefiniti per le estensioni di servizio

Service Extensions supporta le autorizzazioni IAM a livello di progetto.

La tabella seguente elenca i ruoli IAM delle estensioni di servizio e le autorizzazioni incluse in ciascun ruolo.

Ruoli	Autorizzazioni
Service Extensions Admin (roles/networkservices.serviceExtensionsAdmin) Autorizzazioni per creare, aggiornare, elencare, visualizzare ed eliminare le estensioni.	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Service Extensions Viewer (roles/networkservices.serviceExtensionsViewer) Autorizzazioni per elencare e visualizzare le estensioni.	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

La tabella seguente elenca i ruoli IAM necessari per altri servizi e le autorizzazioni incluse in ogni ruolo.

Ruoli	Autorizzazioni
Amministratore bilanciatore del carico Compute (roles/compute.loadBalancerAdmin) Autorizzazioni per aggiornare le regole di forwarding. Obbligatorio durante la creazione e l'aggiornamento delle estensioni che vengono associate alle regole di inoltro.	compute.forwardingRules.update compute.globalForwardingRules.update
Compute Load Balancer Services User (roles/compute.loadBalancerServiceUser) Autorizzazioni per utilizzare i servizi di backend. Obbligatorio durante la creazione e l'aggiornamento delle estensioni che utilizzano i servizi di backend come servizi di estensione.	compute.backendServices.use compute.regionBackendBuckets.use

Gestisci il controllo dell'accesso

Per impostare i controlli dell'accesso a livello di progetto, segui questi passaggi:

1. Nella console Google Cloud , vai alla pagina IAM.

   Vai a IAM

2. Seleziona il progetto.

3. Fai clic su Aggiungi.

4. In Nuove entità, inserisci l'indirizzo email di una nuova entità.

5. Seleziona il ruolo richiesto.

6. Fai clic su Salva.

7. Verifica che l'entità sia elencata con il ruolo che hai concesso.

Identificare le autorizzazioni in un ruolo

Per determinare se una o più autorizzazioni sono incluse in un ruolo, puoi utilizzare uno dei seguenti metodi:

• Il riferimento alla ricerca delle autorizzazioni IAM
• Il comando gcloud iam roles describe
• Il metodo roles.get() nell'API IAM

Passaggi successivi

• Consulta la panoramica di Service Extensions.
• Scopri come preparare il codice del plug-in per creare plug-in.
• Scopri come creare un plug-in.
• Scopri come gestire i plug-in.