In Identity and Access Management (IAM) puoi controllare l'accesso per le entità. Un principale rappresenta una o più identità che si sono autenticate in Trusted Cloud.
Utilizzare i principali nei criteri
Per utilizzare i principali nei tuoi criteri:
Configura le identità che Trusted Cloud puoi riconoscere. La configurazione delle identità è il processo di creazione di identità che Trusted Cloud puoi riconoscere. Puoi configurare le identità per gli utenti e per i carichi di lavoro.
Per scoprire come configurare le identità, consulta quanto segue:
- Per scoprire come configurare le identità per gli utenti, consulta Identità per gli utenti.
- Per scoprire come configurare le identità per i carichi di lavoro, consulta Identità per i carichi di lavoro.
Determina l'identificatore principale che utilizzerai. L'identificatore dell'entità è il modo in cui fai riferimento a un'entità nei tuoi criteri. Questo identificatore può fare riferimento a una singola identità o a un gruppo di identità.
Il formato utilizzato per l'identificatore principale dipende da quanto segue:
- Il tipo di entità
- Il tipo di criterio in cui vuoi includere il principale
Per visualizzare il formato dell'identificatore principale per ogni tipo di principale in ogni tipo di criterio, consulta Identificatori principali.
Una volta conosciuto il formato dell'identificatore, puoi determinare l'identificatore univoco del principale in base agli attributi del principale, ad esempio l'indirizzo email.
Includi l'identificatore dell'entità nelle norme. Aggiungi il tuo rappresentante alle tue norme, rispettando il relativo formato.
Per informazioni sui diversi tipi di criteri in IAM, consulta Tipi di criteri.
Supporto per i tipi di entità principali
Ogni tipo di criterio IAM supporta un sottoinsieme dei tipi di entità supportati da IAM. Per visualizzare i tipi di entità supportati per ogni tipo di criterio, consulta Identificatori delle entità.
Tipi di entità
IAM supporta i seguenti tipi di entità:
- Service account
allAuthenticatedUsers
allUsers
- Una o più identità federate in un pool di identità della forza lavoro
- Una o più identità federate in un pool di identità per i carichi di lavoro
- Un insieme di pod Google Kubernetes Engine
Le sezioni seguenti descrivono questi tipi principali in maggiore dettaglio.
Account di servizio
Un account di servizio è un account per un'applicazione o un carico di lavoro di calcolo anziché per un singolo utente finale. Quando esegui un codice ospitato su Trusted Cloud, specifichi un account di servizio da utilizzare come identità per la tua applicazione. Puoi creare tutti gli account di servizio necessari per rappresentare i vari componenti logici dell'applicazione.
Per ulteriori informazioni sui service account, consulta la Panoramica dei service account.
allAuthenticatedUsers
Il valore allAuthenticatedUsers
è un identificatore speciale che rappresenta tutti gli account di servizio.
Questo tipo di principale non include le identità federate, che sono gestite da provider di identità (IdP) esterni. Per includere le identità federate, utilizza una delle seguenti opzioni:
- Per includere gli utenti di tutti gli IdP, utilizza
allUsers
. - Per includere gli utenti di provider di identità esterni specifici, utilizza l'identificatore per tutte le identità in un pool di identità per la forza lavoro o tutte le identità in un pool di identità per i carichi di lavoro.
Alcuni tipi di risorse non supportano questo tipo di entità.
allUsers
Il valore allUsers
è un identificatore speciale che rappresenta chiunque si trovi su internet, inclusi gli utenti autenticati e non autenticati.
Alcuni tipi di risorse non supportano questo tipo di entità.
Identità federate in un pool di identità della forza lavoro
Un'identità federata in un pool Workload Identity è un'identità utente gestita da un IdP esterno e federata utilizzando la Federazione delle identità per la forza lavoro. Puoi utilizzare un'identità specifica in un pool di identità della forza lavoro oppure puoi utilizzare determinati attributi per specificare un gruppo di identità utente in un pool di identità della forza lavoro.
Identità federate in un pool di identità per i workload
Un'identità federata in un pool di identità per i carichi di lavoro è un'identità per i carichi di lavoro gestita da un provider di identità esterno e federata utilizzando la federazione delle identità per i carichi di lavoro. Puoi utilizzare un'identità di workload specifica in un pool di identità di workload oppure puoi utilizzare determinati attributi per specificare un gruppo di identità di workload in un pool di identità di workload.
Pod GKE
I carichi di lavoro in esecuzione su GKE utilizzano Workload Identity Federation for GKE per accedere ai servizi Trusted Cloud . Per ulteriori informazioni sugli identificatori dei principali per i pod GKE, consulta Fare riferimento alle risorse Kubernetes nei criteri IAM.
Passaggi successivi
- Scopri i tipi di criteri supportati da IAM
- Concedere un ruolo a un'entità in un progetto, in una cartella o in un'organizzazione Resource Manager