Questa pagina descrive i limiti di accesso alle credenziali, che puoi utilizzare per downscope o limitare le autorizzazioni Identity and Access Management (IAM) che una credenziale di breve durata può utilizzare.
Puoi utilizzare i limiti di accesso alle credenziali per generare token di accesso OAuth 2.0 che rappresentano un account di servizio, ma hanno meno autorizzazioni rispetto al service account. Ad esempio, se uno dei tuoi clienti deve accedere ai dati di Cloud Storage che controlli, puoi procedere nel seguente modo:
- Crea un account di servizio che possa accedere a ogni bucket Cloud Storage di tua proprietà.
- Genera un token di accesso OAuth 2.0 per il account di servizio.
- Applica un limite di accesso alle credenziali che consenta l'accesso solo al bucket che contiene i dati del cliente.
Come funzionano i confini per l'accesso con credenziali
Per ridurre l'ambito delle autorizzazioni, definisci un confine per l'accesso con credenziali che specifica a quali risorse può accedere la credenziale di breve durata, nonché un limite superiore per le autorizzazioni disponibili su ciascuna risorsa. Puoi quindi creare una credenziale di breve durata e scambiarla con una nuova credenziale che rispetti il limite di accesso alle credenziali.
Se devi concedere ai principal un insieme distinto di autorizzazioni per ogni sessione, l'utilizzo dei limiti di accesso alle credenziali può essere più efficiente rispetto alla creazione di molti account di servizio diversi e alla concessione a ciascun account di servizio di un insieme diverso di ruoli.
Componenti di un limite di accesso alle credenziali
Un limite di accesso alle credenziali è un oggetto che contiene un elenco di regole relative ai limiti di accesso. Ogni regola contiene le seguenti informazioni:
- La risorsa a cui si applica la regola.
- Il limite superiore delle autorizzazioni disponibili per la risorsa.
- (Facoltativo) Una condizione che limita ulteriormente le autorizzazioni. Una condizione include
quanto segue:
- Un'espressione di condizione che restituisce
trueofalse. Se il risultato ètrue, l'accesso è consentito; in caso contrario, l'accesso è negato. - (Facoltativo) Un titolo che identifica la condizione.
- (Facoltativo) Una descrizione con maggiori informazioni sulla condizione.
- Un'espressione di condizione che restituisce
Se applichi un limite di accesso alle credenziali a una credenziale temporanea, la credenziale può accedere solo alle risorse nel limite di accesso alle credenziali. Nessuna autorizzazione è disponibile su altre risorse.
Un limite di accesso alle credenziali può contenere fino a 10 regole relative ai limiti di accesso. Puoi applicare un solo limite di accesso alle credenziali a ogni credenziale temporanea.
Se rappresentato come oggetto JSON, un Credential Access Boundary contiene i seguenti campi:
| Campi | |
|---|---|
accessBoundary |
Un wrapper per il limite di accesso alle credenziali. |
accessBoundary.accessBoundaryRules[] |
Un elenco di regole relative ai limiti di accesso da applicare a una credenziale temporanea. |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
Un elenco che definisce il limite superiore delle autorizzazioni disponibili per la risorsa.
Ogni valore è l'identificatore di un
ruolo predefinito o
ruolo personalizzato IAM, con
il prefisso |
accessBoundary.accessBoundaryRules[].availableResource |
Il nome completo della risorsa del bucket Cloud Storage a cui si applica la regola. Utilizza il formato
|
accessBoundary.accessBoundaryRules[].availabilityCondition |
Facoltativo. Una condizione che limita la disponibilità delle autorizzazioni a oggetti Cloud Storage specifici. Utilizza questo campo se vuoi rendere disponibili le autorizzazioni per oggetti specifici, anziché per tutti gli oggetti in un bucket Cloud Storage. |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
Un'espressione di condizione che specifica gli oggetti Cloud Storage per i quali sono disponibili le autorizzazioni.
Per scoprire come fare riferimento a oggetti specifici in un'espressione di condizione, consulta gli attributi
|
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
Facoltativo. Una stringa breve che identifica lo scopo della condizione. |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
Facoltativo. Dettagli sullo scopo della condizione. |
Per esempi in formato JSON, consulta Esempi di limiti di accesso alle credenziali in questa pagina.
Esempi di limiti di accesso alle credenziali
Le seguenti sezioni mostrano esempi di limiti di accesso alle credenziali per casi d'uso comuni. Utilizzi il limite di accesso alle credenziali quando scambi un token di accesso OAuth 2.0 con un token con ambito ridotto.
Limitare le autorizzazioni per un bucket
L'esempio seguente mostra un semplice limite di accesso alle credenziali. Si applica al bucket Cloud Storage example-bucket e imposta il limite superiore per le autorizzazioni incluse nel ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer):
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
Limitare le autorizzazioni per più bucket
L'esempio seguente mostra un Credential Access Boundary che include regole per più bucket:
- Il bucket Cloud Storage
example-bucket-1: per questo bucket sono disponibili solo le autorizzazioni nel ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer). - Il bucket Cloud Storage
example-bucket-2: per questo bucket sono disponibili solo le autorizzazioni nel ruolo Storage Object Creator (roles/storage.objectCreator).
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
Limitare le autorizzazioni per oggetti specifici
Puoi anche utilizzare le condizioni IAM per specificare a quali oggetti Cloud Storage un'entità può accedere. Ad esempio, puoi
aggiungere una condizione che rende disponibili le autorizzazioni per gli oggetti il cui nome inizia
con customer-a:
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
Limita le autorizzazioni durante l'elenco degli oggetti
Quando elenco gli oggetti in un bucket Cloud Storage, chiami un metodo su una risorsa bucket, non su una risorsa oggetto. Di conseguenza,
se una condizione viene valutata per una richiesta di elenco e la condizione fa riferimento al
nome della risorsa, il nome della risorsa identifica il bucket,
non un oggetto all'interno del bucket. Ad esempio, quando elenchi gli oggetti in example-bucket, il nome della risorsa è projects/_/buckets/example-bucket.
Questa convenzione di denominazione può causare un comportamento imprevisto quando elenchi gli oggetti.
Ad esempio, supponiamo di voler creare un limite di accesso alle credenziali che consenta l'accesso
in visualizzazione agli oggetti in example-bucket con il prefisso customer-a/invoices/.
Potresti provare a utilizzare la seguente condizione nel limite all'accesso con credenziali:
Incompleta: condizione che verifica solo il nome della risorsa
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
Questa condizione funziona per la lettura degli oggetti, ma non per l'elenco degli oggetti:
- Quando un'entità tenta di leggere un oggetto in
example-bucketcon il prefissocustomer-a/invoices/, la condizione restituiscetrue. - Quando un'entità tenta di elencare oggetti con quel prefisso, la condizione
restituisce
false. Il valore diresource.nameèprojects/_/buckets/example-bucket, che non inizia conprojects/_/buckets/example-bucket/objects/customer-a/invoices/.
Per evitare questo problema, oltre a utilizzare resource.name.startsWith(), la tua
condizione può controllare un attributo API denominato
storage.googleapis.com/objectListPrefix. Questo attributo contiene il valore del
parametro prefix utilizzato per filtrare l'elenco di oggetti. Di conseguenza,
puoi scrivere una condizione che fa riferimento al valore del parametro prefix.
L'esempio seguente mostra come utilizzare l'attributo API in una condizione. Consente di leggere e elencare gli oggetti in example-bucket con il prefisso
customer-a/invoices/:
Completa: condizione che controlla il nome della risorsa e il prefisso
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') ||
api.getAttribute('storage.googleapis.com/objectListPrefix', '')
.startsWith('customer-a/invoices/')
Ora puoi utilizzare questa condizione in un limite di accesso alle credenziali:
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
Passaggi successivi
- Scopri come creare una credenziale di breve durata con ambito ridotto.
- Scopri di più sul controllo dell'accesso per Cloud Storage.
- Visualizza le autorizzazioni in ogni ruolo predefinito.
- Scopri di più sui ruoli personalizzati.