Identity and Access Management (IAM) offre diversi tipi di criteri per aiutarti a controllare le risorse a cui possono accedere i principali. Questa pagina ti aiuta a comprendere le differenze tra l'utilizzo e la gestione di questi tipi di norme.
Tipi di criteri IAM in Trusted Cloud
IAM offre i seguenti tipi di criteri:
- Criteri di autorizzazione
- Policy di negazione
La seguente tabella riassume le differenze tra questi tipi di norme:
| Norme | Funzione di criteri | API utilizzata per gestire il criterio | Relazione tra criteri e target | Metodo per collegare i criteri al target | Risorsa principale del criterio |
|---|---|---|---|---|---|
| Criteri di autorizzazione | Concedi alle entità l'accesso alle risorse | L'API per la risorsa per cui vuoi gestire i criteri di autorizzazione |
Relazione one-to-one Ogni criterio di autorizzazione è associato a una risorsa; ogni risorsa può avere un solo criterio di autorizzazione |
Specifica la risorsa durante la creazione del criterio | Uguale alla risorsa a cui è associato il criterio di autorizzazione |
| Policy di negazione | Assicurati che le entità non possano utilizzare autorizzazioni specifiche | L'API IAM v2 |
Relazione one-to-many Ogni criterio di rifiuto è associato a una risorsa; ogni risorsa può avere fino a 500 criteri di rifiuto |
Specifica la risorsa quando crei il criterio di rifiuto | Uguale alla risorsa a cui è associata la policy di rifiuto |
Le sezioni seguenti forniscono dettagli su ciascun tipo di norme.
Criteri per concedere l'accesso alle entità
Per concedere alle entità l'accesso alle risorse, utilizza i criteri di autorizzazione IAM.
I criteri di autorizzazione ti consentono di concedere l'accesso alle risorse in Trusted Cloud. I criteri di autorizzazione sono costituiti da associazioni di ruoli e metadati. Le associazioni di ruoli specificano quali entità devono avere un determinato ruolo nella risorsa.
I criteri di autorizzazione sono sempre associati a una singola risorsa. Dopo aver collegato un criterio di autorizzazione a una risorsa, il criterio viene ereditato dai discendenti della risorsa.
Per creare e applicare una policy di autorizzazione, identifica una risorsa che accetta le policy di autorizzazione, quindi utilizza il metodo setIamPolicy della risorsa per creare la policy di autorizzazione. A tutti gli entità nel criterio allow vengono concessi i ruoli specificati per la risorsa e per tutti i suoi discendenti. A ogni risorsa può essere associato un solo criterio di autorizzazione.
Per ulteriori informazioni sui criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Criteri per negare l'accesso agli entità principali
Per negare alle entità l'accesso alle risorse, utilizza i criteri di rifiuto IAM. I criteri di rifiuto IAM sono disponibili nell'API IAM v2.
I criteri di negazione, come i criteri di autorizzazione, sono sempre associati a una singola risorsa. Puoi associare un criterio di rifiuto a un progetto, a una cartella o a un'organizzazione. Questo progetto, questa cartella o questa organizzazione funge anche da elemento principale del criterio nella gerarchia delle risorse. Dopo aver associato un criterio di rifiuto a una risorsa, il criterio viene ereditato dai discendenti della risorsa.
Per creare e applicare i criteri di rifiuto, utilizza l'API IAM v2. Quando crei un criterio di rifiuto, specifichi la risorsa a cui è associato. A tutte le entità nel criterio di rifiuto è vietato utilizzare le autorizzazioni specificate per accedere alla risorsa e ai relativi discendenti. A ogni risorsa possono essere associati fino a 500 criteri di rifiuto.
Per saperne di più sui criteri di negazione, consulta Criteri di negazione.
Valutazione delle norme
Quando un'entità tenta di accedere a una risorsa, IAM valuta tutte le policy di autorizzazione e di negazione pertinenti per verificare se l'entità è autorizzata ad accedere alla risorsa. Se uno di questi criteri indica che l'entità non deve essere in grado di accedere alla risorsa, IAM impedisce l'accesso.
In realtà, IAM valuta contemporaneamente tutti i tipi di criteri, poi compila i risultati per determinare se l'entità può accedere alla risorsa. Tuttavia, può essere utile considerare questa valutazione delle norme come suddivisa nelle seguenti fasi:
-
IAM controlla tutti i criteri di rifiuto pertinenti per verificare se all'entità è stata negata l'autorizzazione. I criteri di rifiuto pertinenti sono i criteri di rifiuto associati alla risorsa, nonché eventuali criteri di rifiuto ereditati.
- Se uno di questi criteri di negazione impedisce all'entità di utilizzare un'autorizzazione obbligatoria, IAM impedisce all'entità di accedere alla risorsa.
- Se nessun criterio di rifiuto impedisce al principale di utilizzare un'autorizzazione obbligatoria, IAM passa al passaggio successivo.
-
IAM controlla tutti i criteri di autorizzazione pertinenti per verificare se l'entità dispone delle autorizzazioni richieste. I criteri di autorizzazione pertinenti sono i criteri di autorizzazione associati alla risorsa, nonché eventuali criteri di autorizzazione ereditati.
- Se l'entità non dispone delle autorizzazioni richieste, IAM impedisce l'accesso alla risorsa.
- Se l'entità dispone delle autorizzazioni richieste, IAM consente di accedere alla risorsa.
Il seguente diagramma mostra questo flusso di valutazione dei criteri:
Passaggi successivi
- Scopri di più sui criteri di autorizzazione.
- Scopri di più sui criteri di negazione.