Questa pagina descrive come concedere, modificare e revocare l'accesso di un'entità a un singolo account di servizio. Per gestire l'accesso di un'entità a tutti gli account di servizio in un progetto, una cartella o un'organizzazione, gestisci il suo accesso a livello di progetto, cartella o organizzazione.
In Identity and Access Management (IAM), l'accesso viene gestito tramite i criteri di autorizzazione, noti anche come criteri IAM. Un criterio di autorizzazione è associato a una risorsa Google Cloud. Ogni criterio di autorizzazione contiene una raccolta di associazioni di ruoli che associano una o più entità, ad esempio utenti o account di servizio, a un ruolo IAM. Queste associazioni di ruolo concedono i ruoli specificati alle entità, sia alla risorsa a cui è associato il criterio di autorizzazione sia a tutti i suoi discendenti. Per maggiori informazioni sui criteri di autorizzazione, consulta Comprensione dei criteri di autorizzazione.
Gli account di servizio sono sia risorse a cui è possibile concedere l'accesso ad altre entità sia entità a cui è possibile concedere l'accesso ad altre risorse. Questa pagina tratta gli account di servizio come risorse e descrive come concederne l'accesso ad altre entità. Per scoprire come concedere a un account di servizio l'accesso ad altre risorse, consulta le seguenti guide:
- Per concedere a un account di servizio l'accesso a un progetto, a una cartella o a un'organizzazione, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
- Per concedere a un account di servizio l'accesso ad altre risorse, consulta Gestire l'accesso ad altre risorse.
Questa pagina descrive come gestire l'accesso agli account di servizio utilizzando la console Google Cloud, Google Cloud CLI'API REST. Puoi anche gestire l'accesso utilizzando le librerie client IAM.
Prima di iniziare
Enable the IAM API.
Scopri di più sugli account di servizio.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire l'accesso a un account di servizio,
chiedi all'amministratore di concederti il ruolo IAM Amministratore account di servizio (roles/iam.serviceAccountAdmin
) nell'account di servizio o nel progetto proprietario dell'account di servizio.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire l'accesso a un account di servizio. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per gestire l'accesso a un account di servizio sono necessarie le seguenti autorizzazioni:
-
iam.serviceAccounts.get
-
iam.serviceAccounts.list
-
iam.serviceAccounts.getIamPolicy
-
iam.serviceAccounts.setIamPolicy
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Visualizza l'accesso corrente
La sezione seguente mostra come utilizzare la console Google Cloud, l'interfaccia a riga di comando gcloud CLI'API REST per visualizzare chi ha accesso a un account servizio. Puoi anche visualizzare l'accesso utilizzando le librerie client IAM per ottenere il criterio di autorizzazione dell'account di servizio.
Console
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona un progetto.
Fai clic sull'indirizzo email dell'account di servizio.
Vai alla scheda Autorizzazioni. La sezione Entità con accesso a questo account di servizio elenca tutte le entità a cui è stato concesso un ruolo nell'account di servizio.
Questo elenco include le entità il cui accesso proviene da ruoli concessi sulle risorse principali. Per ulteriori informazioni sull'ereditarietà dei criteri, consulta Eredità dei criteri e gerarchia delle risorse.
(Facoltativo) Per visualizzare le concessioni di ruoli per gli agenti di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
gcloud
Per vedere chi ha accesso al tuo account di servizio, ottieni il criterio di autorizzazione per l'account di servizio. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Per ottenere il criterio di autorizzazione per l'account di servizio, esegui il comando get-iam-policy
per l'account di servizio:
gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH
Fornisci i seguenti valori:
SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.FORMAT
: il formato del criterio. Utilizzajson
oyaml
.PATH
: il percorso di un nuovo file di output per il criterio.
Ad esempio, il seguente comando recupera il criterio per l'account di serviziomy-service-account
e lo salva nella home directory in formato JSON:
gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json
REST
Per vedere chi ha accesso al tuo account di servizio, ottieni il criterio di autorizzazione per l'account di servizio. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Il metodo serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.POLICY_VERSION
: la versione del criterio da restituire. Le richieste devono specificare la versione più recente dei criteri, ovvero la versione 3. Per maggiori dettagli, consulta la sezione Specificare una versione delle norme al momento dell'ottenimento delle norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione dell'account di servizio. Ad esempio:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
Concedere o revocare un singolo ruolo
Puoi utilizzare la console Google Cloud e l'gcloud CLI per concedere o revocare rapidamente un singolo ruolo per una singola entità, senza modificare direttamente il criterio di autorizzazione dell'account di servizio. I tipi comuni di entità includono Account Google, account di servizio, gruppi Google e domini. Per un elenco di tutti i tipi principali, consulta Concetti correlati all'identità.
In genere, le modifiche ai criteri diventano effettive entro 2 minuti. Tuttavia, in alcuni casi, la propagazione delle modifiche nel sistema può richiedere almeno 7 minuti.
Se hai bisogno di aiuto per identificare il ruolo predefinito più appropriato, consulta Scegliere i ruoli predefiniti.
Concedere un singolo ruolo
Per concedere un singolo ruolo a un'entità:
Console
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona un progetto.
Fai clic sull'indirizzo email dell'account di servizio.
Vai alla scheda Autorizzazioni e trova la sezione Entità con accesso a questo account di servizio.
Seleziona un'entità a cui concedere un ruolo:
Per concedere un ruolo a un'entità che ha già altri ruoli nell'account di servizio, trova una riga contenente l'entità, fai clic su
Modifica entità nella riga e poi su Aggiungi un altro ruolo.Per concedere un ruolo a un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google per visualizzare il relativo indirizzo email.
Per concedere un ruolo a un'entità che non ha ruoli esistenti nell'account di servizio, fai clic su
Concedi accesso, quindi inserisci un identificatore per l'entità, ad esempiomy-user@example.com
.
Seleziona un ruolo da concedere dall'elenco a discesa. Per le best practice di sicurezza, scegli un ruolo che includa solo le autorizzazioni necessarie all'entità.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo nell'account di servizio.
gcloud
Per concedere rapidamente un ruolo a un entità, esegui il comando
add-iam-policy-binding
:
gcloud iam service-accounts add-iam-policy-binding SA_ID \ --member=PRINCIPAL --role=ROLE_NAME \ --condition=CONDITION
Fornisci i seguenti valori:
SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.PRINCIPAL
: un identificatore per il principale o il membro, solitamente nella forma seguente:PRINCIPAL-TYPE:ID
. Ad esempio:user:my-user@example.com
. Per un elenco completo dei valori chePRINCIPAL
può avere, consulta Identificatori principali.Per il tipo di principale
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o un dominio Cloud Identity. Per scoprire come configurare un dominio Cloud Identity, consulta la panoramica di Cloud Identity.ROLE_NAME
: il nome del ruolo da concedere. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.
- Ruoli predefiniti:
CONDITION
: facoltativo. La condizione da aggiungere all'associazione di ruolo. Per ulteriori informazioni sulle condizioni, consulta la panoramica delle condizioni.
Ad esempio, per concedere il ruolo Utente account di servizio all'utente
my-user@example.com
per l'account di servizio
my-service-account@my-project.iam.gserviceaccount.com
:
gcloud iam service-accounts add-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \ --member=user:my-user@example.com --role=roles/iam.serviceAccountUser
Revocare un singolo ruolo
Per revocare un singolo ruolo da un'entità, procedi nel seguente modo:
Console
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona un progetto.
Fai clic sull'indirizzo email dell'account di servizio.
Vai alla scheda Autorizzazioni e trova la sezione Entità con accesso a questo account di servizio.
Individua la riga contenente l'entità di cui vuoi revocare l'accesso. Quindi, fai clic su
Modifica principale in quella riga.Fai clic sul pulsante Elimina
per il ruolo che vuoi revocare e poi su Salva.
gcloud
Per revocare rapidamente un ruolo a un utente, esegui il comando
remove-iam-policy-binding
:
gcloud iam service-accounts remove-iam-policy-binding SA_ID \ --member=PRINCIPAL --role=ROLE_NAME
Fornisci i seguenti valori:
SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.PRINCIPAL
: un identificatore per il principale o il membro, solitamente nella forma seguente:PRINCIPAL-TYPE:ID
. Ad esempio:user:my-user@example.com
. Per un elenco completo dei valori chePRINCIPAL
può avere, consulta Identificatori principali.Per il tipo di principale
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o un dominio Cloud Identity. Per scoprire come configurare un dominio Cloud Identity, consulta la panoramica di Cloud Identity.ROLE_NAME
: il nome del ruolo da revocare. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.
- Ruoli predefiniti:
Ad esempio, per revocare il ruolo Utente account di servizio all'utente
my-user@example.com
per l'account di servizio
my-service-account@my-project.iam.gserviceaccount.com
:
gcloud iam service-accounts remove-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \ --member=user:my-user@example.com --role=roles/iam.serviceAccountUser
Concedi o revoca più ruoli utilizzando la console Google Cloud
Puoi utilizzare la console Google Cloud per concedere e revocare più ruoli per un singolo entità:
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona un progetto.
Fai clic sull'indirizzo email dell'account di servizio.
Vai alla scheda Autorizzazioni e trova la sezione Entità con accesso a questo account di servizio.
Seleziona l'entità di cui vuoi modificare i ruoli:
Per modificare i ruoli di un'entità che ne ha già nell'account di servizio, trova una riga contenente l'entità, fai clic su
Modifica entità nella riga e poi su Aggiungi un altro ruolo.Per modificare i ruoli di un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google per visualizzarne l'indirizzo email.
Per concedere ruoli a un'entità che non ne ha già nel account di servizio, fai clic su
Concedi accesso, quindi inserisci l'indirizzo email o un altro identificatore dell'entità.
Modifica i ruoli dell'entità:
- Per concedere un ruolo a un principale che non ha ruoli esistenti nella risorsa, fai clic su Seleziona un ruolo, quindi seleziona un ruolo da concedere dall'elenco a discesa.
- Per concedere un ruolo aggiuntivo al principale, fai clic su Aggiungi un altro ruolo, quindi seleziona un ruolo da concedere dall'elenco a discesa.
- Per sostituire uno dei ruoli del principale con un altro, fai clic sul ruolo esistente, quindi scegli un altro ruolo da concedere dall'elenco a discesa.
- Per revocare uno dei ruoli dell'entità, fai clic sul pulsante Elimina per ogni ruolo da revocare.
Puoi anche aggiungere una condizione a un ruolo, modificare la condizione di un ruolo o rimuovere la condizione di un ruolo.
Fai clic su Salva.
Concedi o revoca più ruoli in modo programmatico
Per apportare modifiche di accesso su larga scala che comportano la concessione e la revoca di più ruoli per più entità, utilizza il pattern read-modify-write per aggiornare il criterio di autorizzazione dell'account di servizio:
- Leggi il criterio di autorizzazione corrente chiamando
getIamPolicy()
. - Modifica il criterio di autorizzazione mediante un editor di testo o in modo programmatico per aggiungere o rimuovere eventuali associazioni di principi o ruoli.
- Scrivi il criterio di autorizzazione aggiornato chiamando
setIamPolicy()
.
Questa sezione mostra come utilizzare l'interfaccia a riga di comando gcloud e l'API REST per aggiornare il criterio di autorizzazione. Puoi anche aggiornare il criterio di autorizzazione utilizzando le librerie client IAM.
In genere, le modifiche ai criteri diventano effettive entro 2 minuti. Tuttavia, in alcuni casi, la propagazione delle modifiche nel sistema può richiedere almeno 7 minuti.
Ottenere il criterio di autorizzazione corrente
gcloud
Per ottenere il criterio di autorizzazione per l'account di servizio, esegui il comando get-iam-policy
per l'account di servizio:
gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH
Fornisci i seguenti valori:
SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.FORMAT
: il formato per il criterio di autorizzazione. Utilizzajson
oyaml
.PATH
: il percorso di un nuovo file di output per il criterio di autorizzazione.
Ad esempio, il seguente comando recupera il criterio di autorizzazione per l'account di serviziomy-service-account
e lo salva nella home directory in formato JSON:
gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json
REST
Il metodo serviceAccounts.getIamPolicy
recupera il criterio di autorizzazione di un account di servizio.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.POLICY_VERSION
: la versione del criterio da restituire. Le richieste devono specificare la versione più recente dei criteri, ovvero la versione 3. Per maggiori dettagli, consulta la sezione Specificare una versione delle norme al momento dell'ottenimento delle norme.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione dell'account di servizio. Ad esempio:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
Salva la risposta in un file del tipo appropriato (json
o yaml
).
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Modifica il criterio di autorizzazione
Modifica la copia locale del criterio di autorizzazione dell'account servizio in modo programmatico o mediante un editor di testo in modo che rifletta i ruoli che vuoi concedere o revocare a determinati utenti.
Per assicurarti di non sovrascrivere altre modifiche, non modificare o rimuovere il campo etag
del criterio di autorizzazione. Il campo etag
identifica lo stato corrente del criterio di autorizzazione. Quando imposti il criterio di autorizzazione aggiornato, IAM confronta il valore etag
nella richiesta con il valore etag
esistente e scrive il criterio di autorizzazione solo se i valori corrispondono.
Per modificare i ruoli concessi da un criterio di autorizzazione, devi modificare le associazioni di ruoli nel criterio di autorizzazione. Le associazioni di ruoli hanno il seguente formato:
{ "role": "ROLE_NAME", "members": [ "PRINCIPAL_1", "PRINCIPAL_2", ... "PRINCIPAL_N" ], "conditions:" { CONDITIONS } }
I segnaposto hanno i seguenti valori:
ROLE_NAME
: il nome del ruolo da concedere. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.
- Ruoli predefiniti:
PRINCIPAL_1
,PRINCIPAL_2
,...PRINCIPAL_N
: identificatori dei principali a cui vuoi concedere il ruolo.Gli identificatori principali hanno in genere la seguente forma:
PRINCIPAL-TYPE:ID
. Ad esempio,user:my-user@example.com
. Per un elenco completo dei valori chePRINCIPAL
può avere, consulta Identificatori principali.Per il tipo di principale
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o un dominio Cloud Identity. Per scoprire come configurare un dominio Cloud Identity, consulta la panoramica di Cloud Identity.CONDITIONS
: facoltativo. Eventuali condizioni che specificano quando verrà concesso l'accesso.
Concedi un ruolo
Per concedere i ruoli alle entità, modifica le associazioni dei ruoli nel criterio di autorizzazione. Per scoprire quali ruoli puoi concedere, consulta la sezione Informazioni sui ruoli o visualizza i ruoli concedibili per l'account di servizio. Se hai bisogno di aiuto per identificare i ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.
Se vuoi, puoi utilizzare le condizioni per concedere i ruoli solo quando vengono soddisfatti determinati requisiti.
Per concedere un ruolo già incluso nel criterio di autorizzazione, aggiungi l'entità a un'associazione di ruolo esistente:
gcloud
Modifica il criterio di autorizzazione aggiungendo l'entità a un'associazione di ruolo esistente. Tieni presente che questa modifica non verrà applicata finché non imposti il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) a Kai:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com"
]
}
Per concedere lo stesso ruolo a Raha, aggiungi Raha all'associazione di ruolo esistente:
{ "role": "roles/iam.serviceAccountUser", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
REST
Modifica il criterio di autorizzazione aggiungendo l'entità a un'associazione di ruolo esistente. Tieni presente che questa modifica non verrà applicata finché non imposti il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) a Kai:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com"
]
}
Per concedere lo stesso ruolo a Raha, aggiungi Raha all'associazione di ruolo esistente:
{ "role": "roles/iam.serviceAccountUser", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
Per concedere un ruolo non ancora incluso nel criterio di autorizzazione, aggiungi una nuova associazione di ruolo:
gcloud
Modifica il criterio di autorizzazione aggiungendo una nuova associazione di ruolo che assegna il ruolo all'entità. Questa modifica non verrà applicata finché non imposterai il criterio di autorizzazione aggiornato.
Ad esempio, per concedere il ruolo Creatore token account di servizio
(roles/iam.serviceAccountTokenCreator
) a Raha, aggiungi la
seguente associazione di ruolo all'array bindings
per il criterio di autorizzazione:
{
"role": "roles/iam.serviceAccountTokenCreator",
"members": [
"user:raha@example.com"
]
}
REST
Modifica il criterio di autorizzazione aggiungendo una nuova associazione di ruolo che assegna il ruolo all'entità. Questa modifica non verrà applicata finché non imposterai il criterio di autorizzazione aggiornato.
Ad esempio, per concedere il ruolo Creatore token account di servizio
(roles/iam.serviceAccountTokenCreator
) a Raha, aggiungi la
seguente associazione di ruolo all'array bindings
per il criterio di autorizzazione:
{
"role": "roles/iam.serviceAccountTokenCreator",
"members": [
"user:raha@example.com"
]
}
Revocare un ruolo
Per revocare un ruolo, rimuovi l'entità dall'associazione di ruolo. Se non sono presenti altre entità nell'associazione dei ruoli, rimuovi l'intera associazione dei ruoli dal criterio di autorizzazione.
gcloud
Modifica il criterio di autorizzazione rimuovendo l'entità o l'intera associazione del ruolo. Questa variazione non verrà applicata finché non imposterai il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede a Kai e Raha il ruolo Utente account di servizio (roles/iam.serviceAccountUser
):
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com",
"user:raha@example.com"
]
}
Per revocare il ruolo a Kai, rimuovi l'identificatore dell'entità di Kai dall'associazione di ruolo:
{
"role": "roles/iam.serviceAccountUser",
"members": [
user:raha@example.com
]
}
Per revocare il ruolo sia a Kai che a Raha, rimuovi l'associazione di ruolo dal criterio di autorizzazione.
REST
Modifica il criterio di autorizzazione rimuovendo l'entità o l'intera associazione del ruolo. Questa variazione non verrà applicata finché non imposterai il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede a Kai e Raha il ruolo Utente account di servizio (roles/iam.serviceAccountUser
):
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com",
"user:raha@example.com"
]
}
Per revocare il ruolo a Kai, rimuovi l'identificatore dell'entità di Kai dall'associazione di ruolo:
{
"role": "roles/iam.serviceAccountUser",
"members": [
user:raha@example.com
]
}
Per revocare il ruolo sia a Kai che a Raha, rimuovi l'associazione di ruolo dal criterio di autorizzazione.
Imposta il criterio di autorizzazione
Dopo aver modificato il criterio di autorizzazione per concedere e revocare i ruoli, chiama
setIamPolicy()
per apportare gli aggiornamenti.
gcloud
Per impostare il criterio di autorizzazione per la risorsa, esegui il comando
set-iam-policy
per l'account di servizio:
gcloud iam service-accounts set-iam-policy SA_ID PATH
Fornisci i seguenti valori:
SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.PATH
: il percorso di un file contenente la nuova norma di autorizzazione.
La risposta contiene il criterio di autorizzazione aggiornato.
Ad esempio, il seguente comando imposta il criterio di autorizzazione memorizzato in policy.json
come criterio di autorizzazione per l'account di serviziomy-service-account@my-project.iam.gserviceaccount.com
:
gcloud iam service-accounts set-iam-policy my-service-account@my-project.iam.gserviceaccount.com \ ~/policy.json
REST
Il metodo
serviceAccounts.setIamPolicy
imposta un criterio di autorizzazione aggiornato per l'account di servizio.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.SA_ID
: l'ID del tuo account di servizio. Può essere l'indirizzo email dell'account di servizio nel formatoSA_NAME@PROJECT_ID.iam.gserviceaccount.com
o l'ID numerico univoco dell'account di servizio.-
POLICY
: una rappresentazione JSON del criterio che vuoi impostare. Per ulteriori informazioni sul formato di un criterio, consulta la pagina Riferimento ai criteri.Ad esempio, per impostare il criterio di autorizzazione mostrato nel passaggio precedente, sostituisci
policy
con quanto segue:{ "version": 1, "etag": "BwUqLaVeua8=", "bindings": [ { "role": "roles/iam.serviceAccountUser", "members": [ "group:my-group@example.com" ] }, { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione aggiornato.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Passaggi successivi
- Scopri quali ruoli concedere per consentire alle entità di autenticarsi come account di servizio.
- Scopri come scegliere i ruoli predefiniti più appropriati.
- Consulta le best practice per l'utilizzo degli account di servizio per scoprire come utilizzarli in sicurezza.
- Scopri come gestire l'accesso a progetti, cartelle e organizzazioni.
- Scopri i passaggi generali per gestire l'accesso ad altre risorse.
- Scopri come rendere condizionale l'accesso di un principale con le associazioni di ruoli condizionali.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente