Utilizzare le condizioni IAM

Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso condizionale, basato su attributi per Google Cloud le risorse, incluse le istanze Cloud SQL. Per saperne di più sulle condizioni IAM, consulta la pagina Panoramica delle condizioni IAM.

Introduzione

In Cloud SQL, puoi applicare l'accesso condizionale in base ai seguenti attributi:

  • Attributi di data/ora: utilizzati per impostare l'accesso temporaneo (in scadenza), pianificato o di durata limitata alle risorse Cloud SQL. Ad esempio, puoi consentire a un utente di accedere a un'istanza di database fino a una data specificata. Puoi utilizzare gli attributi di data/ora a qualsiasi livello della gerarchia delle risorse. Per saperne di più, consulta Configurazione dell'accesso temporaneo.
  • Attributi delle risorse: utilizzati per configurare l'accesso condizionale in base a un tag, al nome della risorsa, al tipo di risorsa o all'attributo del servizio di risorse. In Cloud SQL, puoi utilizzare gli attributi delle istanze di database per configurare l'accesso condizionale. Ad esempio, puoi consentire a un utente di accedere solo alle istanze con un tag specifico. Per saperne di più, consulta Configurazione dell'accesso basato sulle risorse.

I casi d'uso includono:

  • Consentire agli utenti di connettersi a istanze specifiche.

  • Consentire agli utenti di creare istanze con prefissi o suffissi specifici (ad esempio, "test").

  • Limitare l'accesso alle operazioni di backup per le istanze di test

  • Consentire agli utenti di eliminare le istanze di sviluppo e di test, ma non le istanze di produzione.

  • Consentire agli utenti di eseguire operazioni amministrative in determinate date o orari.

Consentire agli utenti di connettersi a istanze specifiche

Supponiamo che tu voglia consentire a un utente o a un account di servizio di avere l'autorizzazione per connettersi a una sola istanza Cloud SQL specifica. Puoi includere una condizione IAM nell'associazione di policy IAM che concede a questo account le autorizzazioni di un ruolo Cloud SQL.

Per impostazione predefinita, il ruolo predefinito Client Cloud SQL (roles/cloudsql.client), che contiene l'autorizzazione cloudsql.instances.connect, autorizza il suo membro a connettersi a tutte le istanze Cloud SQL in un progetto. Introducendo una condizione IAM nell'associazione di policy, puoi concedere l'autorizzazione solo all'istanza denominata.

Console

Questo esempio mostra come modificare l'associazione IAM esistente per il progetto in modo da assegnare a un account di servizio un ruolo Client Cloud SQL per un'istanza specifica.

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo Google Cloud progetto.
  • INSTANCE_ID: il nome dell'istanza a cui vuoi concedere l'accesso.

  1. Nellaconsole, vai alla pagina Service account. Google Cloud

    Vai a IAM

  2. Fai clic su Aggiungi.
  3. Nella casella di immissione Nuovi membri, inserisci l'email del account di servizio.
  4. Fai clic sull'elenco a discesa Ruolo e seleziona il ruolo Client Cloud SQL
  5. Fai clic su Aggiungi condizione.
  6. Inserisci un titolo e una descrizione.
  7. Seleziona la scheda Editor di condizioni.
  8. Nella sezione Generatore di condizioni :
    • In Tipo di condizione - Risorsa - Nome, inserisci projects/PROJECT_ID/instances/INSTANCE_ID
    • Assicurati che sia selezionata la condizione AND.
    • In Tipo di condizione - Risorsa - Servizio, seleziona sqladmin.googleapis.com.
  9. Fai clic su Salva per salvare la condizione.
  10. Fai clic su Salva per salvare la policy.

gcloud

Questo esempio mostra come modificare l'associazione di policy IAM esistente per il progetto in modo da assegnare a un account di servizio specifico il ruolo Client Cloud SQL, ma solo per un'istanza specifica.

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo Google Cloud progetto.
  • INSTANCE_ID: il nome dell'istanza a cui vuoi concedere l'accesso.
  • SERVICE_ACCOUNT_EMAIL: l'indirizzo email completo del account di servizio di cui vuoi modificare l'accesso.

  1. Recupera le associazioni di policy IAM esistenti e inviale al file bindings.json:
    2. gcloud projects get-iam-policy PROJECT_ID --format=json > bindings.json
  2. Aggiungi la seguente associazione di ruoli condizionali al file bindings.json: 
    {
  "bindings": [
    {
      "role": "roles/cloudsql.client",
      "members": [
        "serviceAccount:SERVICE_ACCOUNT_EMAIL"
      ],
      "condition": {
        "expression": "resource.name == 'projects/PROJECT_ID/instances/INSTANCE_ID'
          && resource.service == 'sqladmin.googleapis.com'"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}
  3. Aggiorna la policy IAM con il nuovo file bindings.json. 
    gcloud projects set-iam-policy PROJECT_ID bindings.json

Terraform

Per consentire agli utenti di connettersi a istanze specifiche, utilizza una risorsa dati google_iam_policydi Terraform e una google_project_iam_policy risorsa Terraform. 

data "google_iam_policy" "sql_iam_policy" {
  binding {
    role = "roles/cloudsql.client"
    members = [
      "serviceAccount:${google_project_service_identity.gcp_sa_cloud_sql.email}",
    ]
    condition {
      expression  = "resource.name == 'projects/${data.google_project.project.project_id}/instances/${google_sql_database_instance.default.name}' && resource.type == 'sqladmin.googleapis.com/Instance'"
      title       = "created"
      description = "Cloud SQL instance creation"
    }
  }
}

resource "google_project_iam_policy" "project" {
  project     = data.google_project.project.project_id
  policy_data = data.google_iam_policy.sql_iam_policy.policy_data
}

Applica le modifiche

Per applicare la configurazione Terraform in un Google Cloud progetto, completa i passaggi nelle sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto predefinito in cui vuoi applicare le configurazioni Terraform. Google Cloud

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform

Prepara la directory

Ogni file di configurazione Terraform deve avere una propria directory (chiamata anche modulo root).

  1. In Cloud Shell, crea una directory e un nuovo file all'interno della directory. Il nome del file deve avere l' .tf estensione, ad esempio main.tf. In questo tutorial, il file viene chiamato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    Facoltativamente, copia il codice da GitHub. Questa operazione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory. 
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Esamina la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt: 
    terraform apply

    Attendi che Terraform visualizzi il messaggio "Apply complete!".

  3. Apri il tuo Google Cloud progetto per visualizzare i risultati. Nella Google Cloud console, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disattivare la protezione dall'eliminazione, nel file di configurazione Terraform imposta l'argomento deletion_protection su false. 
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt: 
    terraform apply

  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

Limita l'accesso alle operazioni di backup per le istanze di test

Supponiamo che la topologia del tuo servizio sia configurata in modo che tutte le istanze di test abbiano un prefisso test (ad esempio, test-instance-1) e tutte le istanze di produzione abbiano un prefisso prod (ad esempio, prod-instance-1).

Puoi limitare l'accesso alle operazioni di backup alle istanze di test per un utente o un account di servizio. La limitazione dell'accesso include la limitazione delle operazioni CREATE, GET, LIST o DELETE ai backup per le istanze di test.

Console

  1. Nellaconsole, vai alla pagina Service account. Google Cloud

    Vai a IAM

  2. Fai clic sulla scheda ENTITÀ.
  3. Individua l'indirizzo email dell'utente o il account di servizio (entità) a cui vuoi limitare l'accesso.
  4. Fai clic sull'icona Modifica entità a destra dell'entità. Questa icona ha l'aspetto di una matita.
  5. Nella finestra di dialogo Modifica autorizzazioni, fai clic su AGGIUNGI UN ALTRO RUOLO.

  6. Nel campo Filtro della finestra di dialogo successiva, inserisci Cloud SQL Admin. Quindi, seleziona il ruolo Cloud SQL Admin visualizzato.

    La finestra di dialogo Modifica autorizzazioni è attiva e il ruolo Cloud SQL Admin viene visualizzato nella finestra di dialogo.

  7. A destra del ruolo Cloud SQL Admin, fai clic sul link Aggiungi condizione.
  8. Nella finestra di dialogo Modifica condizione, fornisci le seguenti informazioni:
    1. Nel campo Titolo, inserisci un nome per la condizione che stai aggiungendo per limitare l'accesso alle operazioni di backup per le istanze di test. Ad esempio, puoi inserire Limit access to backup operations.

    2. Fai clic sulla scheda EDITOR DI CONDIZIONI e poi aggiungi la seguente condizione:

      resource.type == "sqladmin.googleapis.com/BackupRun" && 
resource.name.startsWith("projects/PROJECT_ID/instances/test")

  9. Fai clic su SALVA.
  10. Nella finestra di dialogo Modifica autorizzazioni, fai clic su SALVA.

gcloud

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo Google Cloud progetto.
  • USER_EMAIL: l'indirizzo email dell'utente.
  • SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo del account di servizio di cui vuoi limitare l'accesso.

  1. Limita l'ambito del ruolo cloudsql.admin per un utente con indirizzo email USER_EMAIL.

    L'ambito del ruolo è limitato alle risorse i cui nomi iniziano con projects/PROJECT_ID/instances/test. 

    gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:USER_EMAIL \
--role=roles/cloudsql.admin \
--condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"

    2. OR

  2. Limita l'ambito del ruolo cloudsql.admin per un utente che ha eseguito l'accesso con un account di servizio SERVICE_ACCOUNT_EMAIL.

    gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SERVICE_ACCOUNT_EMAIL \
--role=roles/cloudsql.admin \
--condition=expression="resource.type == \"sqladmin.googleapis.com/BackupRun\" && resource.name.startsWith(\"projects/PROJECT_ID/instances/test-instance-1\")",title="test"

Consentire agli utenti di eliminare le istanze di test, ma non le istanze di produzione

Supponiamo che tu voglia consentire a un account di servizio di eliminare le istanze di test, ma non le istanze di produzione. Puoi farlo utilizzando i tag e aggiungendo le seguenti due associazioni di policy per il account di servizio:

  • Un ruolo Editor Cloud SQL sulla risorsa in cui hai concesso il ruolo e sui relativi discendenti. Se concesso al progetto, il ruolo si applica a tutte le istanze del progetto. Il ruolo Editor Cloud SQL non contiene l'autorizzazione cloudsql.instances.delete.
  • Un ruolo Cloud SQL Admin sulle istanze con il tag test.

Console

  1. Nellaconsole, vai alla pagina Service account. Google Cloud

    Vai a IAM

  2. Fai clic su Aggiungi.
  3. Nel campo Nuovi membri, inserisci l'indirizzo email del account di servizio.
  4. Fai clic sull'elenco a discesa Ruolo e seleziona il ruolo Editor Cloud SQL. Non aggiungere altro per questo ruolo.
  5. Fai clic su Salva per salvare la condizione.
  6. Fai clic sul menu Ruolo per lo stesso account e seleziona il ruolo Cloud SQL Admin.
  7. Fai clic su Aggiungi condizione.
  8. Inserisci un titolo e una descrizione.
  9. Seleziona la scheda Editor di condizioni.
  10. Nella sezione Generatore di condizioni :
    • In Tipo di condizione - Risorsa - Nome, inserisci un nome per la condizione.
    • In Tipo di condizione - Risorsa - Servizio, seleziona sqladmin.googleapis.com.
    • In Tipo di condizione - Risorsa - Tag, inserisci il nome con spazio dei nomi della chiave Tag. In questo esempio, l' operatore è matches e il valore è 815471563813/env/test.
  11. Fai clic su Salva per salvare la condizione.
  12. Fai clic su Salva per salvare la policy.

gcloud

Questo esempio utilizza le seguenti variabili:

  • PROJECT_ID: il tuo Google Cloud progetto.
  • INSTANCE_ID: la tua istanza Cloud SQL.
  • REGION: la regione in cui si trova l'istanza Cloud SQL.
  • ORGANIZATION_ID: l'ID dell'organizzazione che sarà la risorsa padre di questa chiave Tag, ad esempio: 12345678901. Per scoprire come ottenere l'ID organizzazione, consulta Creazione e gestione delle organizzazioni.
  • SERVICE_ACCOUNT_EMAIL:l'indirizzo email completo del account di servizio di cui vuoi modificare l'accesso.

  1. Crea una chiave Tag denominata `env` con i valori tag `prod` e `test`. Per saperne di più, consulta Creazione e definizione di un nuovo tag. 
    gcloud alpha resource-manager tags keys create env \
--parent=organizations/ORGANIZATION_ID
gcloud alpha resource-manager tags values create prod \
--parent=env
gcloud alpha resource-manager tags values create test \
--parent=env
  2. Collega il tag `env` con il valore `test` alle istanze Cloud SQL dell'ambiente di test. Per saperne di più, consulta la pagina Tag Cloud SQL.
    3. gcloud alpha resource-manager tags bindings create \
--tag-value=test \
--parent=//sqladmin.googleapis.com/projects/PROJECT_ID/instances/INSTANCE_ID \
--location=REGION
  3. Recupera le associazioni di policy IAM esistenti e inviale al file bindings.json: 
    gcloud projects get-iam-policy PROJECT_ID --format=json >> bindings.json
  4. Aggiungi le seguenti associazioni condizionali al file bindings.json: 
    {
  "bindings": [
    {
      "role": "roles/cloudsql.editor",
      "members": [
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ]
    },
    {
      "role": "roles/cloudsql.admin",
      "members": [
          "serviceAccount:SERVICE_ACCOUNT_EMAIL"
        ],
      "condition": {
        "expression": "resource.matchTag('ORGANIZATION_ID/env', 'test')"
      }
    }
  ],
  "etag": "BwWKmjvelug="
  "version": 3
}
  5. Aggiorna le associazioni di policy IAM con il nuovo file bindings.json. 
    gcloud projects set-iam-policy PROJECT_ID bindings.json