Identity and Access Management (IAM) fornisce più ruoli predefiniti per la maggior parte dei servizi Trusted Cloud by S3NS . Ogni ruolo predefinito contiene le autorizzazioni necessarie per eseguire un'attività o un gruppo di attività correlate.
Per alcune attività, trovare un ruolo predefinito appropriato è spesso
semplice. Ad esempio, se un principal deve visualizzare oggetti in un bucket Cloud Storage, il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer
) è probabilmente una buona scelta.
Tuttavia, esistono centinaia di ruoli predefiniti, il che può rendere difficile identificare i ruoli più appropriati da concedere ai tuoi principal. Può anche essere difficile trovare ruoli che seguano il principio del privilegio minimo, secondo cui le entità non devono disporre di più autorizzazioni di quelle di cui hanno effettivamente bisogno.
Questa pagina ti guida nella procedura di scelta dei ruoli predefiniti più appropriati:
- Identifica le autorizzazioni necessarie.
- Trova i ruoli che contengono le autorizzazioni.
- Scegli i ruoli più appropriati.
- Decidi dove concedere i ruoli.
- Concedi i ruoli a un'entità.
Identificare le autorizzazioni necessarie
Per identificare le autorizzazioni necessarie a un principal, inizia elencando le attività che deve svolgere e i servizi Trusted Cloud che utilizzerà per queste attività. Ad esempio, un principal potrebbe dover utilizzare Compute Engine per creare istanze di macchine virtuali.
Dopo aver identificato le attività e i servizi, puoi utilizzare alcune strategie per identificare le autorizzazioni necessarie per ogni attività:
Consulta la documentazione dei servizi Trusted Cloud .
Per alcuni servizi, le guide pratiche orientate alle attività elencano i ruoli o le autorizzazioni necessarie per ogni attività, in una sezione "Prima di iniziare" o nelle istruzioni per ogni attività. Ad esempio, consulta i prerequisiti per l'importazione e l'esportazione di immagini VM di Compute Engine.
Alcuni altri servizi identificano i ruoli e le autorizzazioni richiesti in una pagina sul controllo dell'accesso#39;accesso. Ad esempio, consulta le autorizzazioni richieste per chiamare i metodi Pub/Sub.
Identifica i metodi API REST o RPC che utilizzeresti per completare le attività e controlla la documentazione di riferimento dell'API per le autorizzazioni IAM richieste.
Per alcuni servizi, la documentazione delle API REST e RPC elenca le autorizzazioni richieste da ogni metodo. Ad esempio, consulta la documentazione di Compute Engine per il metodo
instances.get
.Esamina l'elenco delle autorizzazioni per ogni servizio e usa il tuo giudizio per trovare le autorizzazioni pertinenti.
Nella maggior parte dei casi, il nome di ogni autorizzazione descrive anche cosa ti consente di fare. Ad esempio, l'autorizzazione per creare un'istanza VM di Compute Engine si chiama
compute.instances.create
.Per aiutarti a comprendere ogni nome di autorizzazione, ricorda che i nomi delle autorizzazioni utilizzano il formato
SERVICE.RESOURCE_TYPE.ACTION
.
In generale, non è necessario identificare ogni autorizzazione richiesta per ogni attività. Concentrati invece sull'identificazione dell'autorizzazione più pertinente per ogni attività. Se un ruolo predefinito contiene questa autorizzazione, è probabile che contenga anche autorizzazioni correlate.
Nell'ambito di questa procedura, devi anche cercare di identificare quali delle autorizzazioni richieste sono le più potenti. In generale, le autorizzazioni più potenti sono incluse in un numero inferiore di ruoli predefiniti. Di conseguenza, se ti concentri su queste autorizzazioni, avrai un elenco più breve di potenziali ruoli tra cui scegliere.
Ad esempio, i seguenti tipi di autorizzazioni sono particolarmente potenti:
- Autorizzazioni per creare ed eliminare risorse
- Autorizzazioni per accedere a dati sensibili, come chiavi di crittografia o informazioni di identificazione personale (PII)
- Autorizzazioni per impostare la policy di autorizzazione o di negazione per una risorsa
- Autorizzazioni per aggiornare organizzazioni, cartelle e progetti, che possono causare l'ereditarietà degli aggiornamenti da parte di altre risorse
Al contrario, i seguenti tipi di autorizzazioni sono meno potenti:
- Autorizzazioni per elencare le risorse
- Autorizzazioni per accedere a dati non sensibili
- Autorizzazioni per aggiornare le impostazioni che presentano un rischio limitato, ad esempio la piattaforma CPU minima per le istanze di macchine virtuali Compute Engine
Trovare i ruoli che contengono le autorizzazioni
Dopo aver identificato le autorizzazioni richieste, puoi cercare i ruoli predefiniti che contengono queste autorizzazioni e creare un elenco di ruoli che potrebbero essere adatti. Il modo più semplice per trovare questi ruoli è cercare nel riferimento alle autorizzazioni, che elenca tutte le autorizzazioni IAM e i ruoli che contengono ciascuna autorizzazione.
Per seguire il principio del privilegio minimo, potrebbe essere necessario identificare più di un ruolo predefinito da concedere, soprattutto se le autorizzazioni richieste appartengono a più servizi Trusted Cloud . Ad esempio, se un principal deve visualizzare gli oggetti Cloud Storage e amministrare i database Cloud SQL, è improbabile che un singolo ruolo predefinito contenga le autorizzazioni appropriate per entrambi i servizi. Se esiste un ruolo di questo tipo, potrebbe includere anche un numero elevato di autorizzazioni non correlate di cui l'entità non ha bisogno. Per ridurre il rischio, cerca un ruolo che contenga le autorizzazioni richieste per Cloud Storage e un altro ruolo che contenga le autorizzazioni richieste per Cloud SQL.
Scegliere i ruoli più appropriati
Ora che hai un elenco di ruoli predefiniti che potrebbero essere adatti, puoi scegliere i ruoli più appropriati dall'elenco.
Inizia eliminando i seguenti tipi di ruoli:
Per gli ambienti di produzione: ruoli di base, tra cui Proprietario (
roles/owner
), Editor (roles/editor
) e Visualizzatore (roles/viewer
).I ruoli di base includono migliaia di autorizzazioni per tutti i servizi Trusted Cloud . In ambienti di produzione, non concedere ruoli di base a meno che non ci siano alternative. Concedi invece i ruoli predefiniti o personalizzati più limitati secondo le tue esigenze.
Ruoli di agente di servizio, che in genere hanno titoli che terminano con "Agente di servizio" e nomi che terminano con
serviceAgent
.Questi ruoli sono destinati agli agenti di servizio, che sono un tipo speciale di account di servizio utilizzato da un servizio Trusted Cloud per accedere alle tue risorse. I ruoli dell'agente di servizio tendono a contenere autorizzazioni per più servizi, che potrebbero includere servizi a cui la tua entità non deve accedere.
Successivamente, utilizza i riferimenti ai ruoli predefiniti o la pagina Ruoli nella Trusted Cloud console per elencare le autorizzazioni contenute in ogni ruolo. Controlla ogni ruolo per verificare la presenza di autorizzazioni che non vuoi che l'entità abbia ed elimina tutti i ruoli che contengono autorizzazioni indesiderate.
Se questo processo elimina tutti i ruoli predefiniti, valuta la possibilità di creare un ruolo personalizzato adatto al tuo caso d'uso. In caso contrario, scegli il ruolo o i ruoli che contengono il minor numero di autorizzazioni, pur soddisfacendo le tue esigenze.
Decidi dove concedere i ruoli
Quando concedi un ruolo, lo concedi sempre a una risorsa specifica Trusted Cloud, che appartiene a una gerarchia delle risorse. Le risorse di livello inferiore, come le istanze VM di Compute Engine, ereditano i ruoli concessi alle risorse di livello superiore, come progetti, cartelle e organizzazioni.
Scegli dove concedere i ruoli predefiniti che hai identificato:
- Se l'entità deve accedere a risorse specifiche di livello inferiore, concedi i ruoli per queste risorse.
Se l'entità ha bisogno dell'accesso a molte risorse all'interno di un progetto, una cartella o un'organizzazione, concedi i ruoli nel progetto, nella cartella o nell'organizzazione. Scegli la risorsa di livello più basso che soddisfi le esigenze del preside.
Inoltre, valuta la possibilità di utilizzare le condizioni IAM per concedere i ruoli solo su risorse specifiche all'interno del progetto, della cartella o dell'organizzazione.
Se hai identificato più ruoli predefiniti, valuta se devi concedere i ruoli a diversi livelli della gerarchia delle risorse. Ad esempio, se un principal ha bisogno dell'accesso a un singolo database Cloud SQL, ma a molte istanze VM di Compute Engine diverse, potresti voler concedere il ruolo per Cloud SQL sul database e il ruolo per Compute Engine sul progetto.
Concedere i ruoli a un'entità
Ora puoi concedere i ruoli alla tua entità. Per scoprire come concedere i ruoli, consulta quanto segue:
- Gestire l'accesso a progetti, cartelle e organizzazioni
- Gestire l'accesso agli account di servizio
- Gestire l'accesso ad altre risorse
Se l'entità dispone delle autorizzazioni previste per le risorse corrette, ma non riesce a completare le attività, è possibile che tu abbia trascurato un'autorizzazione di cui l'entità ha bisogno. Migliora il tentativo precedente aggiungendo le autorizzazioni richieste all'elenco, trovando i ruoli che contengono queste autorizzazioni e scegliendo i ruoli più appropriati.
Passaggi successivi
- Scopri di più sulla risoluzione dei problemi di accesso.