Questa pagina offre indicazioni sul tipo di ruolo (predefinito, personalizzato o di base) da utilizzare per controllare l'accesso alle risorse Google Cloud .
Di seguito sono riepilogati i nostri consigli per la scelta del tipo di ruolo da utilizzare:
- Ti consigliamo di dare la priorità all'utilizzo dei ruoli predefiniti perché sono gestiti da Google e offrono un equilibrio tra sicurezza e praticità.
- Se hai bisogno di un ruolo che rispetti rigorosamente il principio del privilegio minimo e non riesci a trovare un ruolo predefinito che soddisfi i tuoi requisiti di sicurezza, utilizza i ruoli personalizzati.
- Non utilizzare ruoli di base a meno che non ci siano alternative o li utilizzi in un ambiente di test.
Quando utilizzare i ruoli predefiniti
In genere, ti consigliamo di utilizzare ruoli predefiniti anziché ruoli di base o personalizzati. I ruoli predefiniti forniscono un accesso granulare a risorseGoogle Cloud specifiche, vengono gestiti da Google e vengono aggiornati automaticamente quando vengono aggiunte nuove autorizzazioni, funzionalità o servizi aGoogle Cloud.
Tuttavia, in alcuni casi potresti voler utilizzare ruoli personalizzati o di base. Le sezioni seguenti descrivono questi casi.
Quando utilizzare i ruoli personalizzati
A differenza dei ruoli predefiniti, i ruoli personalizzati non vengono gestiti da Google. Ciò significa che quando Google Cloud aggiunge nuove autorizzazioni, funzionalità o servizi, i tuoi ruoli personalizzati non verranno aggiornati automaticamente. Per questo motivo, ti consigliamo di concedere i ruoli predefiniti più limitati che soddisfano le tue esigenze.
Tuttavia, potrebbe essere opportuno creare e concedere ruoli personalizzati nei seguenti casi:
- Un'entità ha bisogno di un'autorizzazione, ma ogni ruolo predefinito che include questa autorizzazione include anche autorizzazioni che l'entità non ha bisogno e non dovrebbe avere.
- Utilizzi i suggerimenti sui ruoli per sostituire le concessioni di ruoli eccessivamente permissive con concessioni di ruoli più appropriate. In alcuni casi, potresti ricevere un suggerimento per creare un ruolo personalizzato.
Quando utilizzi i ruoli personalizzati, tieni presente i seguenti limiti:
- I ruoli personalizzati possono contenere fino a 3000 autorizzazioni.
- La dimensione totale massima di titolo, descrizione e nomi autorizzazione per un ruolo personalizzato è 64 kB.
Esistono limiti al numero di ruoli personalizzati che puoi creare:
- Puoi creare fino a 300 ruoli personalizzati a livello di organizzazione.
- Puoi creare fino a 300 ruoli personalizzati a livello di progetto in ogni progetto della tua organizzazione.
Quando utilizzare i ruoli di base
I ruoli di base includono migliaia di autorizzazioni per tutti i servizi Google Cloud . In ambienti di produzione, non concedere ruoli di base a meno che non ci siano alternative. Concedi invece i ruoli predefiniti o i ruoli personalizzati più limitati secondo le tue esigenze.
Se devi sostituire un ruolo di base, puoi utilizzare i suggerimenti per i ruoli per determinare quali ruoli concedere. Puoi anche utilizzare Policy Simulator per assicurarti che la modifica del ruolo non influisca sull'accesso dell'entità.
Potrebbe essere opportuno concedere ruoli di base quando vuoi concedere autorizzazioni più ampie per un progetto. Ciò accade spesso quando concedi autorizzazioni in ambienti di sviluppo o test.
Passaggi successivi
- Scopri come trovare i ruoli predefiniti giusti.
- Scopri come creare ruoli personalizzati.
- Scopri di più sui ruoli di base.