Per impostazione predefinita, tutti i progetti Trusted Cloud by S3NS includono un unico utente: il Project Creator originale. Nessun altro utente ha accesso al progetto e quindi alle risorse Compute Engine finché un utente non viene aggiunto come membro del progetto o associato a una risorsa specifica. Questa pagina descrive i modi in cui puoi aggiungere nuovi utenti al tuo progetto e come impostare il controllo degli accessi per le tue risorse Compute Engine utilizzando Identity and Access Management (IAM).
Per informazioni su come fornire l'accesso alle applicazioni in esecuzione sulle tue istanze Compute Engine, consulta Come viene determinata l'autorizzazione.
Opzioni di controllo dell'accesso per gli utenti
Per consentire agli utenti di creare e gestire le risorse Compute Engine, puoi aggiungerli come membri del team al progetto o a risorse specifiche e concedere loro le autorizzazioni utilizzando i ruoli IAM.
Un membro del team può essere un singolo utente con un Account Google o un account utente valido di un provider di identità esterno, un gruppo Google, un gruppo di identità di un pool di identità della forza lavoro, un service account o un dominio Google Workspace. Quando aggiungi un membro del team a un progetto o a una risorsa, specifichi i ruoli da concedergli. IAM fornisce tre tipi di ruoli: ruoli predefiniti, ruoli di base e ruoli personalizzati.
Le risorse ereditano le policy delle risorse principali nella gerarchia delle risorse Trusted Cloud. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dalla risorsa di livello superiore.
Ruoli Compute Engine predefiniti
I ruoli predefiniti concedono un insieme di autorizzazioni correlate. Compute Engine offre i seguenti ruoli predefiniti:
| Titolo del ruolo | Funzionalità | Utente di destinazione |
|---|---|---|
| Utente immagine Compute Engine |
Dispone dell'autorizzazione per elencare e utilizzare le immagini di un altro progetto. Concedi a un membro questo ruolo insieme a un altro ruolo in modo che possa utilizzare le immagini di un altro progetto per creare una nuova risorsa. Ad esempio, concedi questo ruolo e il ruolo Instance Admin in modo che un membro possa utilizzare le immagini di un altro progetto per creare istanze VM e dischi permanenti. Se crei gruppi di istanze gestite o se utilizzi Deployment Manager per creare istanze VM, potresti dover concedere questo ruolo al service account API di Google del progetto prima di poter utilizzare le immagini di altri progetti. |
|
| Amministratore delle istanze Compute Engine (v1) |
Dispone del controllo completo di istanze, gruppi di istanze, dischi, snapshot e immagini di Compute Engine. Accesso in sola lettura a tutte le risorse di networking di Compute Engine. Se il membro gestisce istanze VM configurate per essere eseguite
come service account, devi anche concedere il ruolo
|
|
| Ruolo amministratore Compute Engine |
Dispone del controllo completo di tutte le risorse Compute Engine. Se l'utente
gestisce istanze VM configurate per l'esecuzione come service
account, devi concedere anche il ruolo
|
|
| Amministratore di rete Compute Engine |
Dispone delle autorizzazioni per creare, modificare ed eliminare le risorse di networking, ad eccezione delle regole firewall e dei certificati SSL Il ruolo Amministratore di rete consente l'accesso di sola lettura alle regole del firewall, ai certificati SSL e alle istanze per visualizzare i relativi indirizzi IP temporanei. Il ruolo di amministratore di rete non consente a un membro di creare, avviare, arrestare o eliminare istanze. |
Amministratori di rete |
| Security Admin Compute Engine |
Dispone delle autorizzazioni a creare, modificare ed eliminare regole firewall e certificati SSL. |
Amministratori della sicurezza |
| Amministratore del bilanciatore del carico Compute Enginebeta |
Dispone delle autorizzazioni a creare, modificare ed eliminare i bilanciatori del carico e le risorse associate. |
Amministratori del bilanciatore del carico |
| Utente del service account Compute Engine |
Dispone dell'autorizzazione a creare istanze che utilizzano service account e dell'autorizzazione per collegare un disco e impostare i metadati su un'istanza già configurata per l'esecuzione come service account. Non dovresti concedere questo ruolo da solo perché non fornisce autorizzazioni all'API Compute Engine. Devi concedere a un membro questo ruolo e un altro, ad esempio il ruolo di amministratore dell'istanza. |
|
| Ruolo Visualizzatore Compute Engine |
Dispone di accesso in sola lettura per recuperare ed elencare le risorse Compute Engine, ma non ti consente di leggere i dati archiviati al loro interno. Ad esempio, un account con questo ruolo potrebbe creare un inventario di tutti i dischi di un progetto, ma non potrebbe leggere nessuno dei dati su questi dischi. |
Amministratori di sistema |
| Utente di rete Compute Engine |
Dispone di autorizzazioni per utilizzare una rete VPC condivisa. In particolare, concedi questo ruolo ai proprietari di servizi che devono utilizzare le risorse nel progetto host. Una volta concesso, i proprietari di servizi possono utilizzare le subnet e le reti appartenenti al progetto host. Ad esempio, un utente di rete può creare un'istanza VM che appartiene a una rete host VPC condivisa, ma non può eliminare o creare nuove reti nel progetto host. |
|
| Visualizzatore di rete Compute Engine |
Dispone di accesso di sola lettura a tutte le risorse di rete. Ad esempio, se hai un software che ispeziona la configurazione di rete, puoi concedere al service account del software il ruolo Visualizzatore di rete. |
|
| Amministratore Storage Compute Enginebeta |
Dispone delle autorizzazioni per creare, modificare ed eliminare dischi, immagini e snapshot. Ad esempio, se nella tua azienda le immagini vengono gestite da una persona a cui non vuoi assegnare il ruolo di Editor nel progetto, assegna questo ruolo al suo account. |
|
| Amministratore di VPC condiviso Compute Engine |
Dispone di autorizzazioni per amministrare i progetti host di VPC condiviso, in particolare per attivare i progetti host e associare i progetti di servizio alla rete del progetto host. Questo ruolo può essere concesso solo a livello di organizzazione. |
Project Creator |
Per visualizzare un elenco dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta la documentazione relativa ai ruoli IAM di Compute Engine.
Matrice dei ruoli predefiniti
La tabella seguente fornisce un confronto completo delle funzionalità di ciascun ruolo Compute Engine.
| Capacità | Amministratore di istanza (v1) | Utente immagine | Utente di rete | Visualizzatore di rete | Amministratore di rete | Amministratore della sicurezza | Amministratore Storage | Amministratore del VPC condiviso | Amministratore Compute | Visualizzatore Compute | Amministratore del bilanciatore del carico |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Creare o eliminare istanze VM | * | ||||||||||
| Accedere tramite SSH alle istanze VM | * | * | |||||||||
| Elencare o ottenere istanze VM | |||||||||||
| Creare o eliminare immagini, dischi, snapshot | |||||||||||
| Elencare o ottenere immagini | |||||||||||
| Creare o eliminare gruppi di istanze | * | ||||||||||
| Elencare o ottenere i gruppi di istanze | |||||||||||
| Creare e gestire i bilanciatori del carico | |||||||||||
| Creare e gestire le VPN | |||||||||||
| Visualizzare le risorse di rete/subnet | |||||||||||
| Visualizzare le regole firewall | |||||||||||
| Creare e gestire firewall e certificati SSL |
per i firewall, per i certificati SSL |
||||||||||
| Creare e gestire progetti host del VPC condiviso | |||||||||||
| Utilizzare reti e sottoreti in un progetto host del VPC condiviso | |||||||||||
| Creare e gestire reti e subnet |
*Se l'istanza VM può essere eseguita come service account, concedi anche il ruolo utente del service account.
Per visualizzare un elenco dei metodi API a cui un ruolo specifico concede l'autorizzazione, consulta la documentazione relativa ai ruoli IAM di Compute Engine.
Ruoli IAM di base
I ruoli IAM di base vengono mappati direttamente ai ruoli di Project Owner, Editor e Visualizzatore dei progetti precedenti. In genere, devi utilizzare i ruoli predefiniti, quando possibile; tuttavia, in alcuni casi, se IAM non è ancora supportato, potresti dover utilizzare un ruolo di base per concedere le autorizzazioni corrette.
| Titolo del ruolo | Autorizzazioni |
|---|---|
Owner |
Tutti i privilegi di Visualizzatore ed Editor, oltre alla possibilità di modificare le impostazioni di fatturazione, gestire il controllo dell'accesso ed eliminare un progetto. |
Editor |
Tutti i privilegi di Visualizzatore, oltre alla possibilità di creare, modificare ed eliminare risorse. |
Viewer |
Autorizzazioni di sola lettura per tutte le risorse; nessuna autorizzazione per modificare le risorse. |
Per scoprire di più sui ruoli di base, leggi la documentazione relativa ai ruoli di base.
Se i ruoli di base o predefiniti non soddisfano le tue esigenze, puoi creare ruoli personalizzati.
Policy IAM per le risorse Compute Engine
Puoi concedere l'accesso alle risorse di Compute Engine come istanze VM, immagini e dischi, collegando le policy IAM direttamente a queste risorse. Una policy IAM ti consente di gestire i ruoli IAM su queste risorse anziché, o in aggiunta a, gestire i ruoli a livello di progetto. In questo modo, hai la flessibilità di applicare il principio del privilegio minimo, ovvero concedere l'accesso solo alle risorse specifiche di cui i collaboratori hanno bisogno per svolgere il proprio lavoro.
Con le policy IAM per le risorse Compute Engine, le organizzazioni possono:
- Concedere agli utenti l'accesso a un sottoinsieme specifico di risorse. Supponiamo che Alice debba
gestire un sottoinsieme di istanze in un progetto. Con le policy IAM
a livello di istanza, le concedi il ruolo
compute.instanceAdmin.v1solo per queste istanze. Se avessi concesso ad Alice lo stesso ruolo nel progetto, avrebbe l'autorizzazione per modificare tutte le istanze del progetto. - Consentire agli amministratori di concedere l'accesso. Gli amministratori possono concedere ad altre
persone l'accesso a istanze, dischi e immagini senza dover essere Project Owner
con autorizzazioni elevate. Supponiamo che Bob sia uno sviluppatore a cui è stato concesso il ruolo
compute.storageAdminper un'immagine specifica. Può condividerla con gli altri membri del team concedendo loro il ruolocompute.imageUserper l'immagine. Senza le policy IAM per le risorse Compute Engine, Bob non può condividere l'immagine con gli altri membri del team, a meno che non diventi Project Owner, perché dovrebbe modificare la policy IAM del progetto.
Le risorse ereditano anche le policy delle risorse padre. Se imposti una policy a livello di progetto, questa viene ereditata da tutte le risorse figlio. La policy applicata a una risorsa è data dall'unione della policy impostata per quella risorsa più la policy ereditata dal livello superiore della gerarchia. Per ulteriori informazioni, consulta i dettagli sulla gerarchia delle policy IAM.
Policy dell'organizzazione
Se sei un membro di Google Workspace, il tuo progetto potrebbe far parte di una risorsa Organizzazione. Una risorsa Organizzazione è il supernodo nella gerarchia delle risorse Trusted Cloud che è strettamente associato a un Account Google Workspace. Dopo aver creato una risorsa Organizzazione per un dominio Google Workspace, tutti i progettiTrusted Cloud creati dai membri del dominio appartengono alla risorsa Organizzazione.
Un'organizzazione può implementare policy dell'organizzazione, ovvero policy che limitano le configurazioni consentite nell'intera gerarchia delle risorseTrusted Cloud by S3NS . Per Compute Engine, puoi implementare le seguenti policy:
- Disattivazione dell'accesso interattivo alla console seriale.
- Disattivazione degli indirizzi IP esterni per le istanze VM.
- Limitazione dei progetti di immagini disponibili per i membri del progetto
Per impostare le policy dell'organizzazione,
devi aver ottenuto il ruolo orgpolicy.policyAdmin nell'organizzazione.
Puoi anche impostare override specifici per il progetto nel caso in cui siano presenti eccezioni alle policy.
Per scoprire di più sulle organizzazioni, consulta la documentazione relativa alle organizzazioni.
Per scoprire di più sulle policy dell'organizzazione, consulta la documentazione relativa alle policy dell'organizzazione.
Concessione agli utenti dell'accesso SSH alle istanze VM
Per consentire a un utente di connettersi a un'istanza VM utilizzando SSH senza concedergli la possibilità di gestire le risorse Compute Engine, aggiungi la chiave pubblica dell'utente al progetto o aggiungi una chiave pubblica dell'utente a un'istanza specifica. Con questo metodo, puoi evitare di aggiungere un utente come membro del progetto, pur concedendogli l'accesso a istanze specifiche.
Per scoprire di più su SSH e sulla gestione delle chiavi SSH, consulta la panoramica delle chiavi SSH.
Tieni presente che se concedi il ruolo roles/compute.instanceAdmin.v1 a un membro del progetto,
quest'ultimo può connettersi automaticamente alle istanze utilizzando SSH, a condizione che
l'istanza non sia configurata per l'esecuzione come service account. Se l'istanza è configurata
per essere eseguita come service account, devi concedere anche il ruolo
roles/iam.serviceAccountUser prima che il membro possa connettersi all'istanza.
Se aggiungi un membro come Project Owner o Editor del progetto, avrà automaticamente anche accesso SSH alle istanze VM del progetto.
Controllo dell'accesso per le app in esecuzione sulle istanze VM
Se esegui il codice dell'app sulle istanze e l'app deve eseguire l'autenticazione in altre API Trusted Cloud , puoi creare service account e assegnare a questi service account ruoli IAM specifici per eseguire l'autenticazione in altre API Trusted Cloud per tuo conto. Un service account è un account speciale che non dispone di credenziali utente ed è ideale per le interazioni da server a server.
Per scoprire di più sui service account, consulta la documentazione relativa ai service account.
Workload Identity gestite per i workload di Compute Engine
Puoi configurare il provisioning automatico e la gestione del ciclo di vita dei certificati X.509 da Certificate Authority Service (CA Service) utilizzando le Workload Identity gestite. I certificati di Workload Identity gestite vengono emessi da CA Service, un servizio Trusted Cloud by S3NS scalabile e ad alta affidabilità che ti consente di semplificare e automatizzare il deployment, la gestione e la sicurezza dei servizi CA, mantenendo il controllo delle tue chiavi private.
Con le Workload Identity gestite, puoi usufruire di mTLS per VM, gestito da Compute Engine. mTLS per VM utilizza i certificati X.509 che vengono rilasciati quando crei una VM. Questi certificati mTLS vengono ruotati automaticamente, quindi non dovrai più preoccuparti di gestirli.
Le Workload Identity gestite forniscono una base per abilitare le comunicazioni mutuamente autenticate e criptate tra due VM Compute Engine. Ad esempio, quando utilizzi le Workload Identity gestite, il servizio A in esecuzione in una VM comunica con il servizio B in esecuzione in un'altra VM tramite un canale criptato stabilito utilizzando mTLS.
Per informazioni sulla configurazione delle Workload Identity gestite, consulta Autentica i workload con altri workload tramite mTLS.
Passaggi successivi
- Aggiungi utenti come membri del team.
- Scopri di più sui ruoli IAM.
- Scopri di più su come aggiungere e rimuovere le chiavi SSH.
- Scopri di più sui service account.