Crea una policy di accesso con ambito

Questa pagina descrive come creare e delegare le policy di accesso con ambito.

Prima di iniziare

Scopri di più sulle policy con ambito.
Scopri di più sull'autorizzazione dell'accesso ai Controlli di servizio VPC.

Nota: controllo dell'accesso per le policy con ambito è indipendente dai progetti o dalle cartelle nei relativi ambiti. Tutte le autorizzazioni di Gestore contesto accesso concesse su cartelle o progetti non hanno effetto sulle policy con ambito, in quanto le autorizzazioni possono essere concesse solo a livello di organizzazione o su singole policy.
Assicurati che l'amministratore a cui è delegata la policy di accesso con ambito disponga dell'autorizzazione cloudasset.assets.searchAllResources per la cartella o il progetto a cui è associata la policy con ambito. L'amministratore delegato deve avere questa autorizzazione per cercare tutte le risorse. Google Cloud
Scopri di più sulla configurazione dei perimetri di servizio.

Creazione di una policy di accesso con ambito

Crea una policy di accesso con ambito e delega l'amministrazione a cartelle e progetti nell'organizzazione. Dopo aver creato una policy di accesso con ambito, non puoi modificare l'ambito della policy. Per modificare l'ambito di una policy esistente, eliminala e ricreala con il nuovo ambito.

Console

Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Se ti viene chiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona la policy di accesso che è l'elemento principale della policy con ambito. Ad esempio, puoi selezionare la policy dell'organizzazione default policy.
Fai clic su Gestisci policy.
Nella pagina Gestisci Controlli di servizio VPC, fai clic su Crea.
Nella pagina Crea policy di accesso, digita un nome per la policy di accesso con ambito nella casella Nome policy di accesso.

Il nome di una policy di accesso con ambito può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome della policy di accesso con ambito è sensibile alle maiuscole e deve essere univoco all'interno di una policy di accesso.
Per specificare un ambito per la policy di accesso, fai clic su Ambiti.
Specifica un progetto o una cartella come ambito della policy di accesso.
- Per selezionare un progetto da aggiungere all'ambito della policy di accesso:
  1. Nel riquadro Ambiti, fai clic su Aggiungi progetto.
  2. Nella finestra di dialogo Aggiungi progetto, seleziona la casella di controllo del progetto.
  3. Fai clic su Fine. Il progetto aggiunto viene visualizzato nella sezione Ambiti.
- Per selezionare una cartella da aggiungere all'ambito della policy di accesso:
  1. Nel riquadro Ambiti, fai clic su Aggiungi cartella.
  2. Nella finestra di dialogo Aggiungi cartelle, seleziona la casella di controllo della cartella.
  3. Fai clic su Fine. La cartella aggiunta viene visualizzata nella sezione Ambiti.
Per delegare l'amministrazione della policy di accesso con ambito, fai clic su Entità.
Per specificare l'entità e il ruolo che vuoi associare alla policy di accesso:
1. Nel riquadro Entità, fai clic su Aggiungi entità.
2. Nella finestra di dialogo Aggiungi entità, seleziona un'entità, ad esempio un nome utente o un service account.
3. Seleziona il ruolo da associare all'entità, ad esempio quello di editor o di lettura.
4. Fai clic su Salva. L'entità e il ruolo aggiunti vengono visualizzati nella sezione Entità.
Nella pagina Crea policy di accesso, fai clic su Crea policy di accesso.

gcloud

Per creare una policy di accesso con ambito, utilizza il comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dove:

ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per la tua policy. Il titolo della policy può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo della policy è sensibile alle maiuscole e deve essere univoco all'interno di una policy di accesso.
SCOPE è la cartella o il progetto a cui si applica la policy. Puoi specificare una sola cartella o un solo progetto come ambito e questo deve esistere all'interno dell'organizzazione specificata. Se non specifichi un ambito, la policy si applica all'intera organizzazione.

Viene visualizzato il seguente output (dove POLICY_NAME è un identificatore numerico univoco per la policy assegnata da Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Per delegare l'amministrazione associando un'entità e un ruolo a una policy di accesso con ambito, utilizza il comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dove:

POLICY è l'ID della policy o l'identificatore completo della policy.
PRINCIPAL è l'entità per la quale aggiungere l'associazione. Specifica il valore nel seguente formato: user|group|serviceAccount:email o domain:domain.
ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, ad esempio roles/accesscontextmanager.policyEditor, oppure l'ID di un ruolo personalizzato, ad esempio organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Per creare una policy di accesso con ambito:

Crea un corpo della richiesta.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Dove:
- ORGANIZATION_ID è l'ID numerico della tua organizzazione.
- SCOPE è la cartella o il progetto a cui si applica la policy.
- POLICY_TITLE è un titolo leggibile per la tua policy. Il titolo della policy può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il titolo della policy è sensibile alle maiuscole e deve essere univoco all'interno di una policy di accesso.

Crea la policy di accesso chiamando accessPolicies.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce dettagli sull'operazione POST.

Per delegare l'amministrazione della policy di accesso con ambito:

Crea un corpo della richiesta.
```
{
 "policy": "IAM_POLICY",
}
```
Dove:
- IAM_POLICY è una raccolta di associazioni. Un'associazione vincola uno o più membri o entità a un singolo ruolo. Le entità possono essere account utente, service account, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni. Ogni ruolo può essere un ruolo predefinito IAM o un ruolo personalizzato creato dall'utente.

Delega la policy di accesso chiamando accessPolicies.setIamPolicy.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta contiene un'istanza di policy.

Passaggi successivi

Scopri come gestire i perimetri di servizio esistenti.

Crea una policy di accesso con ambito Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Creazione di una policy di accesso con ambito

Console

gcloud

API

Corpo della risposta

Corpo della risposta

Passaggi successivi

Crea una policy di accesso con ambito