Entità IAM

In Identity and Access Management (IAM) puoi controllare l'accesso per le entità. Un principale rappresenta una o più identità che si sono autenticate in Trusted Cloud.

Utilizzare i principali nei criteri

Per utilizzare i principali nei tuoi criteri:

  1. Configura le identità che Trusted Cloud puoi riconoscere. La configurazione delle identità è il processo di creazione di identità che Trusted Cloud puoi riconoscere. Puoi configurare le identità per gli utenti e per i carichi di lavoro.

    Per scoprire come configurare le identità, consulta quanto segue:

  2. Determina l'identificatore principale che utilizzerai. L'identificatore dell'entità è il modo in cui fai riferimento a un'entità nei tuoi criteri. Questo identificatore può fare riferimento a una singola identità o a un gruppo di identità.

    Il formato utilizzato per l'identificatore principale dipende da quanto segue:

    • Il tipo di entità
    • Il tipo di criterio in cui vuoi includere il principale

    Per visualizzare il formato dell'identificatore principale per ogni tipo di principale in ogni tipo di criterio, consulta Identificatori principali.

    Una volta conosciuto il formato dell'identificatore, puoi determinare l'identificatore univoco del principale in base agli attributi del principale, ad esempio l'indirizzo email.

  3. Includi l'identificatore dell'entità nelle norme. Aggiungi il tuo rappresentante alle tue norme, rispettando il relativo formato.

    Per informazioni sui diversi tipi di criteri in IAM, consulta Tipi di criteri.

Supporto per i tipi di entità principali

Ogni tipo di criterio IAM supporta un sottoinsieme dei tipi di entità supportati da IAM. Per visualizzare i tipi di entità supportati per ogni tipo di criterio, consulta Identificatori delle entità.

Tipi di entità

IAM supporta i seguenti tipi di entità:

Le sezioni seguenti descrivono questi tipi principali in maggiore dettaglio.

Account di servizio

Un account di servizio è un account per un'applicazione o un carico di lavoro di calcolo anziché per un singolo utente finale. Quando esegui un codice ospitato su Trusted Cloud, specifichi un account di servizio da utilizzare come identità per la tua applicazione. Puoi creare tutti gli account di servizio necessari per rappresentare i vari componenti logici dell'applicazione.

Per ulteriori informazioni sui service account, consulta la Panoramica dei service account.

allAuthenticatedUsers

Il valore allAuthenticatedUsers è un identificatore speciale che rappresenta tutti gli account di servizio.

Questo tipo di principale non include le identità federate, che sono gestite da provider di identità (IdP) esterni. Per includere le identità federate, utilizza una delle seguenti opzioni:

Alcuni tipi di risorse non supportano questo tipo di entità.

allUsers

Il valore allUsers è un identificatore speciale che rappresenta chiunque si trovi su internet, inclusi gli utenti autenticati e non autenticati.

Alcuni tipi di risorse non supportano questo tipo di entità.

Identità federate in un pool di identità della forza lavoro

Un'identità federata in un pool Workload Identity è un'identità utente gestita da un IdP esterno e federata utilizzando la Federazione delle identità per la forza lavoro. Puoi utilizzare un'identità specifica in un pool di identità della forza lavoro oppure puoi utilizzare determinati attributi per specificare un gruppo di identità utente in un pool di identità della forza lavoro.

Identità federate in un pool di identità per i workload

Un'identità federata in un pool di identità per i carichi di lavoro è un'identità per i carichi di lavoro gestita da un provider di identità esterno e federata utilizzando la federazione delle identità per i carichi di lavoro. Puoi utilizzare un'identità di workload specifica in un pool di identità di workload oppure puoi utilizzare determinati attributi per specificare un gruppo di identità di workload in un pool di identità di workload.

Pod GKE

I carichi di lavoro in esecuzione su GKE utilizzano Workload Identity Federation for GKE per accedere ai servizi Trusted Cloud . Per ulteriori informazioni sugli identificatori dei principali per i pod GKE, consulta Fare riferimento alle risorse Kubernetes nei criteri IAM.

Passaggi successivi