Google Cloud offre Identity and Access Management (IAM), che consente puoi concedere un accesso più granulare a risorse Google Cloud specifiche impedisce l'accesso indesiderato ad altre risorse. IAM consente di adottare principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
IAM consente di controllare chi (utenti) ha quale accesso (ruoli) a quale accesso di archiviazione impostando i criteri IAM. I criteri IAM concedono ruoli specifici a un che concede all'utente determinate autorizzazioni.
Questa pagina illustra i ruoli IAM che sono disponibili a livello di cartella. Inoltre, scopri come creare e gestire IAM i criteri per le cartelle usando l'API Cloud Resource Manager. Per una panoramica descrizione di IAM, leggi la documentazione di IAM. Nel particolare, consulta Concessione, modifica e revoca dell'accesso.
Panoramica dei ruoli IAM per le cartelle
Per aiutarti a configurare i tuoi ruoli IAM, la tabella riportata di seguito elenca:
- Il tipo di azioni che vuoi attivare
- I ruoli necessari per eseguire queste azioni
- Il livello di risorsa a cui devi applicare questi ruoli
| Tipo di azioni | Ruoli obbligatori | Livello risorsa |
|---|---|---|
| Amministra le cartelle nella risorsa dell'organizzazione | Amministratore cartelle | Risorsa dell'organizzazione |
| Amministra una cartella e tutti i progetti e le cartelle che contiene | Amministratore cartelle | Cartella specifica |
| Accede ai criteri IAM di una cartella e li amministra | Folder IAM Admin | Cartella specifica |
| Crea nuove cartelle | Creatore cartella | Risorsa padre per la posizione delle nuove cartelle |
| Sposta cartelle e progetti | Autore spostamento cartella | Risorsa padre sia per la posizione della cartella originale che per la nuova posizione della cartella |
| Sposta un progetto in una nuova cartella | Editor del progetto o Proprietario progetto | Risorsa padre sia per la località del progetto originale che per la nuova località del progetto |
| elimina una cartella | Editor cartelle o amministratore cartelle | Cartella specifica |
Best practice per l'utilizzo di ruoli e autorizzazioni IAM con le cartelle
Quando assegni ruoli e autorizzazioni IAM da utilizzare con le cartelle, mantieni tieni presente quanto segue:
- Se possibile, utilizza i gruppi per gestire le entità.
- Riduci al minimo l'utilizzo dei ruoli di base, come proprietario, editor e visualizzatore. Invece, prova a usare i ruoli predefiniti per il principio del privilegio minimo.
- Per la gestione a livello di cartella, assegna le autorizzazioni a livello di cartella e i progetti li ereditano automaticamente. Ad esempio, potresti assegnare il ruolo Amministratore cartelle per la cartella. Gli amministratori di rete che devono disporre di autorizzazioni a livello di reparto possono avere il ruolo Amministratore rete per la cartella.
- Valuta attentamente quali autorizzazioni potrebbero cambiare prima di spostare una risorsa all'esterno di una cartella. In caso contrario, potresti rischiare di interrompere app o flussi di lavoro esistenti che richiedono queste autorizzazioni per quella risorsa.
- Pianifica e testa con attenzione la gerarchia delle risorse prima di spostare l'ambiente di produzione dei progetti nelle cartelle. Un modo per farlo è creare una cartella di test in la risorsa dell'organizzazione e la creazione di un prototipo della gerarchia prevista. in anticipo.
- La concessione di un ruolo a un utente a livello di cartella implica la concessione di tale ruolo
per ogni risorsa sotto quella cartella. Ad esempio, se concedi
con il ruolo Amministratore Compute (
roles/compute.admin) in una cartella, avrà il controllo completo di tutte le risorse Compute Engine in ogni progetto quella cartella.
Informazioni sui ruoli e sulle autorizzazioni delle cartelle
Ruoli predefiniti
Quando crei una cartella, ti viene assegnato il ruolo Amministratore cartelle e I ruoli di Editor cartelle per la cartella ti offrono il controllo completo come creator. Di seguito sono riportate le autorizzazioni fornite da questi ruoli. Questi valori predefiniti possono essere modificati normalmente in un criterio IAM.
Utilizzo dei ruoli predefiniti
| Ruolo | Autorizzazioni |
|---|---|
Amministratore cartelle( Fornisce tutte le autorizzazioni disponibili per l'utilizzo delle cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Folder IAM Admin( Fornisce le autorizzazioni per amministrare i criteri di autorizzazione sulle cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Creatore cartella( Fornisce le autorizzazioni necessarie per esplorare la gerarchia e creare cartelle. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Editor cartella( Fornisce l'autorizzazione per modificare le cartelle e per visualizzare il criterio di autorizzazione di una cartella. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Autore spostamento cartella( Fornisce l'autorizzazione per spostare progetti e cartelle all'interno e all'esterno di un file padre un'organizzazione o una cartella. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Folder Viewer( Fornisce l'autorizzazione per ottenere una cartella ed elencare le cartelle e i progetti di seguito una risorsa. Risorse di livello più basso a cui puoi concedere questo ruolo:
|
|
Creazione di ruoli personalizzati
Oltre ai ruoli predefiniti descritti in questo argomento, puoi anche creare ruoli personalizzati, ovvero raccolte di autorizzazioni personalizzate in base alle tue esigenze. Quando crei un ruolo personalizzato da utilizzare con Resource Manager, tieni presente i seguenti punti:- Elenca e ottieni le autorizzazioni, ad esempio
resourcemanager.projects.get/list, devono sempre essere concesse in coppia. - Quando il tuo ruolo personalizzato include
folders.listefolders.getautorizzazioni, dovrebbe includere ancheprojects.listeprojects.get. - Tieni presente che l'autorizzazione
setIamPolicyper organizzazione, cartella risorse di progetto permettono all'utente di concedere tutte le altre autorizzazioni, per cui devono essere assegnate con attenzione.
Concessione di ruoli per abilitare l'esplorazione delle cartelle
Elenco delle autorizzazioni abilita la navigazione delle cartelle. I due tipi di autorizzazioni di elenco
in genere sono resourcemanager.folders.list, il che consente
agli utenti di elencare le cartelle all'interno di una risorsa e resourcemanager.projects.list,
che consente agli utenti di sfogliare i progetti in una risorsa o cartella dell'organizzazione. La
L'Amministratore organizzazione è inizializzato con entrambe le autorizzazioni. Per
Gli utenti a cui non è stato assegnato il ruolo Amministratore organizzazione:
- L'autorizzazione
resourcemanager.folders.listpuò essere concessa tramite il Visualizzatore cartelle e Ruoli di Editor cartelle. - L'autorizzazione
resourcemanager.projects.listpuò essere concessa tramite il Visualizzatore oppure Ruoli del browser.
Per fare in modo che le entità risorsa dell'organizzazione possano sfogliare l'intera gerarchia delle risorse dell'organizzazione, elenca le autorizzazioni devono essere concesse a livello di risorsa dell'organizzazione.
Concessione di ruoli per abilitare la creazione delle cartelle
Agli utenti che devono creare cartelle deve essere concesso il ruolo Creatore cartelle in un risorsa nella gerarchia superiore al livello a cui verrà creata la cartella. Può essere utile concedere le autorizzazioni di navigazione insieme alla creazione delle cartelle autorizzazioni in modo che gli utenti possano raggiungere con efficacia il punto della gerarchia verrà creata una cartella. Consulta la sezione sopra per ulteriori informazioni sulle autorizzazioni di navigazione.
L'opzione Creatore cartelle non concede a un utente l'autorizzazione per eliminare una cartella. Tuttavia, Quando una persona crea una cartella, le viene concesso automaticamente Ruolo Editor cartelle. Il ruolo Editor cartelle consente l'eliminazione delle cartelle.
Concessione di ruoli per abilitare lo spostamento delle cartelle
Per spostare una cartella da una risorsa padre a un'altra, gli utenti devono avere il ruolo Strumento di spostamento cartelle per le risorse padre vecchie e nuove o su una ancestor.
Assegnazione di ruoli per consentire lo spostamento dei progetti
Per spostare un progetto in una cartella, gli utenti devono disporre dell'Editor di progetto oppure Ruoli di Proprietario progetto nel progetto e Autore spostamento progetto sia nella risorse padre di origine e di destinazione.
Questo è leggermente diverso dai requisiti per trasferire un dominio non di proprietà dell'organizzazione progetto nella risorsa dell'organizzazione, dove gli utenti devono disporre dell'Editor di progetto o Proprietario progetto per il progetto e il ruolo Autore progetto per la risorsa dell'organizzazione.
Concessione di ruoli specifici per le cartelle per abilitare la creazione del progetto
Per creare progetti, gli utenti devono disporre del ruolo Autore progetto. Tuttavia, anziché concedere l'autorizzazione per la creazione di progetti a livello di organizzazione, è possibile è utile per limitare gli utenti alla visualizzazione e alla creazione di progetti solo all'interno di una determinata cartella.
Per concedere autorizzazioni specifiche per le cartelle:
- Concedi all'utente il ruolo Visualizzatore organizzazione a livello di nodo organizzazione (ad esempio, dominio.com).
- Crea una nuova cartella.
- Aggiungi l'utente a IAM a livello di cartella e concedigli il visualizzatore cartelle e Autore progetto.
In questo modo l'utente può creare progetti nella propria cartella senza concedere loro visibilità a ogni progetto nella risorsa dell'organizzazione più ampia.