Ruoli e autorizzazioni

Questa pagina descrive i ruoli Identity and Access Management (IAM), che sono raccolte di autorizzazioni IAM.

Un ruolo contiene un insieme di autorizzazioni che ti consentono di eseguire azioni specifiche sulle risorseGoogle Cloud . Per rendere disponibili le autorizzazioni alle entità, inclusi utenti, gruppi e service account, concedi ruoli alle entità.

Prima di iniziare

• Comprendi i concetti di base di IAM.

Tipi di ruoli

In IAM esistono tre tipi di ruoli:

• Ruoli di base, che forniscono un ampio accesso alle risorse Google Cloud .
• Ruoli predefiniti, che forniscono un accesso granulare per un servizio specifico e sono gestiti da Google Cloud.
• Ruoli personalizzati, che forniscono un accesso granulare in base a un elenco di autorizzazioni specificato dall'utente.

Per determinare se un'autorizzazione è inclusa in un ruolo di base, predefinito o personalizzato, puoi utilizzare uno dei seguenti metodi:

• Visualizza il ruolo nella console Google Cloud .

  Vai a Ruoli.

• Esegui il comando gcloud iam roles describe.

• Ottieni il ruolo utilizzando il metodo API REST appropriato:

  • Per i ruoli predefiniti, utilizza roles.get().
  • Per i ruoli personalizzati a livello di progetto, utilizza projects.roles.get().
  • Per i ruoli personalizzati a livello di organizzazione, utilizza organizations.roles.get().

• Solo per i ruoli di base e predefiniti: cerca nel riferimento alle autorizzazioni per verificare se l'autorizzazione è concessa dal ruolo.

• Solo per i ruoli predefiniti: cerca le descrizioni dei ruoli predefiniti per vedere quali autorizzazioni include il ruolo.

Per indicazioni su quando utilizzare tipi di ruoli specifici, consulta Scegliere il tipo di ruolo da utilizzare.

Componenti del ruolo

Ogni ruolo è composto dai seguenti componenti:

• Titolo: un nome leggibile per il ruolo. Il titolo del ruolo viene utilizzato per identificare il ruolo nella console Google Cloud .

• Nome: un identificatore per il ruolo in uno dei seguenti formati:

  • Ruoli predefiniti: roles/SERVICE.IDENTIFIER
  • Ruoli personalizzati a livello di progetto: projects/PROJECT_ID/roles/IDENTIFIER
  • Ruoli personalizzati a livello di organizzazione: organizations/ORG_ID/roles/IDENTIFIER

  Il nome del ruolo viene utilizzato per identificare il ruolo nei criteri di autorizzazione�.

• ID: un identificatore univoco per il ruolo. Per i ruoli di base e predefiniti, l'ID è uguale al nome del ruolo. Per i ruoli personalizzati, l'ID è tutto ciò che segue roles/ nel nome del ruolo.

• Descrizione: una descrizione del ruolo leggibile.

• Fase: la fase del ruolo nel ciclo di vita del lancio, ad esempio ALPHA, BETA o GA. Per scoprire di più sulle fasi di lancio, consulta Test e deployment.

• Autorizzazioni: le autorizzazioni incluse nel ruolo. Le autorizzazioni consentono alle entità di eseguire azioni specifiche sulle risorse Google Cloud . Quando concedi un ruolo a un'entità, questa ottiene tutte le autorizzazioni del ruolo.

  Le autorizzazioni hanno il seguente formato:

  SERVICE.RESOURCE.VERB
  

  Ad esempio, l'autorizzazione compute.instances.list consente a un utente di elencare le istanze Compute Engine di sua proprietà, mentre compute.instances.stop consente a un utente di arrestare una VM.

  Le autorizzazioni di solito, ma non sempre, corrispondono 1:1 ai metodi REST. ovvero ogni servizio ha un'autorizzazione associata per ogni metodo REST. Google Cloud Per chiamare un metodo, il chiamante deve disporre dell'autorizzazione associata. Ad esempio, per chiamare il metodo projects.topics.publish dell'API Pub/Sub, devi disporre dell'autorizzazione pubsub.topics.publish.

• ETag: un identificatore per la versione del ruolo per evitare che gli aggiornamenti simultanei si sovrascrivano a vicenda. I ruoli di base e predefiniti hanno sempre l'ETag AA==. I tag ETag per i ruoli personalizzati cambiano ogni volta che modifichi i ruoli.

Ruoli di base

I ruoli di base sono ruoli altamente permissivi che danno un ampio accesso alle risorseGoogle Cloud .

I ruoli di base in IAM sono Amministratore (roles/admin), Scrittore (roles/writer) e Lettore (roles/reader). IAM dispone anche di tre ruoli di base legacy esistenti prima dell'introduzione di IAM: Proprietario (roles/owner), Editor (roles/editor) e Visualizzatore (roles/viewer). Per saperne di più su questi ruoli, consulta la sezione Ruoli di base legacy in questa pagina.

La tabella seguente riepiloga le autorizzazioni che i ruoli Amministratore, Scrittore e Lettore concedono ai principal in tutti i servizi Google Cloud :

Ruolo di base	Autorizzazioni
Lettore (roles/reader)	Autorizzazioni relative ad azioni di sola lettura senza effetto sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti. Per un elenco delle autorizzazioni nel ruolo Lettore, consulta i dettagli del ruolo nella console Google Cloud : Vai al ruolo Lettore
Writer (roles/writer)	Tutte le autorizzazioni del ruolo Lettore, più le autorizzazioni per le azioni che modificano lo stato, ad esempio la modifica di risorse esistenti. Le autorizzazioni del ruolo Writer ti consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud . Tuttavia, il ruolo Scrittore non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo dispone delle autorizzazioni di cui hai bisogno, consulta Tipi di ruoli in questa pagina. Per un elenco delle autorizzazioni nel ruolo Scrittore, consulta i dettagli del ruolo nella console Google Cloud : Vai al ruolo Scrittore
Amministratore (roles/admin)	Tutte le autorizzazioni del ruolo Autore, più quelle per azioni come le seguenti: Completamento di attività sensibili, come la gestione delle associazioni di tag per le risorse Compute Engine Gestione dei ruoli e delle autorizzazioni di un progetto e di tutte le risorse che fanno parte del progetto Configurazione della fatturazione per un progetto Il ruolo Amministratore non contiene tutte le autorizzazioni per tutte le risorse Google Cloud . Ad esempio, non contiene autorizzazioni per modificare i dati di pagamento della fatturazione Cloud o creare criteri di negazione IAM. Per un elenco delle autorizzazioni nel ruolo Amministratore, consulta i dettagli del ruolo nella console Google Cloud : Vai al ruolo Amministratore

Non puoi utilizzare la console Google Cloud per concedere i ruoli Lettore, Scrittore o Amministratore. Utilizza invece l'API o gcloud CLI. Puoi anche creare diritti per questi ruoli utilizzando Privileged Access Manager.

Per istruzioni, vedi Concessione, modifica e revoca dell'accesso.

Ruoli di base legacy

I ruoli di base precedenti esistevano prima dell'introduzione di IAM. In origine erano noti come ruoli originari. A differenza di altri ruoli di base, non puoi aggiungere condizioni ai binding dei ruoli per i ruoli di base legacy.

I ruoli di base legacy sono Proprietario (roles/owner), Editor (roles/editor) e Visualizzatore (roles/viewer).

Quando concedi un ruolo di base legacy a un'entità, questa ottiene tutte le autorizzazioni del ruolo. L'entità riceve anche tutte le autorizzazioni che i servizi forniscono alle entità con ruoli di base legacy, ad esempio le autorizzazioni ottenute tramite i valori di praticità di Cloud Storage e l'appartenenza a gruppi speciali di BigQuery.

La tabella seguente riassume le autorizzazioni che i ruoli di base legacy concedono alle entità in tutti i servizi Google Cloud :

Ruolo di base legacy	Autorizzazioni
Visualizzatore (roles/viewer)	Autorizzazioni relative ad azioni di sola lettura senza effetto sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti. Per un elenco delle autorizzazioni nel ruolo Visualizzatore, consulta i dettagli del ruolo nella console Google Cloud : Vai al ruolo Visualizzatore
Editor (roles/editor)	Tutte le autorizzazioni di visualizzazione, più le autorizzazioni per le azioni che modificano lo stato, ad esempio la modifica di risorse esistenti. Le autorizzazioni del ruolo Editor ti consentono di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud . Tuttavia, il ruolo Editor non contiene le autorizzazioni per eseguire tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo dispone delle autorizzazioni di cui hai bisogno, consulta Tipi di ruoli in questa pagina. Per un elenco delle autorizzazioni nel ruolo Editor, consulta i dettagli del ruolo nella console Google Cloud : Vai al ruolo di editor
Proprietario (roles/owner)	Tutte le autorizzazioni dell'editor, più quelle per azioni come le seguenti: Completamento di attività sensibili, come la gestione delle associazioni di tag per le risorse Compute Engine Gestione dei ruoli e delle autorizzazioni di un progetto e di tutte le risorse che fanno parte del progetto Configurazione della fatturazione per un progetto Il ruolo Proprietario non contiene tutte le autorizzazioni per tutte le risorse Google Cloud . Ad esempio, non contiene autorizzazioni per modificare i dati di pagamento della fatturazione Cloud o creare criteri di negazione IAM. Per un elenco delle autorizzazioni nel ruolo Proprietario, consulta i dettagli del ruolo nella console Google Cloud : Vai al Proprietario Owner

Puoi concedere ruoli di base legacy utilizzando la console Google Cloud , l'API e gcloud CLI. Tuttavia, per concedere il ruolo Proprietario di un progetto a un utente esterno alla tua organizzazione, devi utilizzare la console Google Cloud , non gcloud CLI. Se il tuo progetto non fa parte di un'organizzazione, devi utilizzare la console Google Cloud per concedere il ruolo Proprietario.

Per istruzioni, vedi Concessione, modifica e revoca dell'accesso.

Ruoli predefiniti

Oltre ai ruoli di base, IAM fornisce ruoli predefiniti aggiuntivi che consentono l'accesso granulare a risorse specifiche. Google CloudQuesti ruoli sono creati e gestiti da Google. Google aggiorna automaticamente le proprie autorizzazioni in base alle necessità, ad esempio quando Google Cloud aggiunge nuovi servizi o funzionalità.

Puoi concedere più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli Amministratore di rete Compute e Visualizzatore log in un progetto e anche il ruolo Publisher Pub/Sub in un argomento Pub/Sub all'interno di quel progetto. Per elencare le autorizzazioni contenute in un ruolo, vedi Recuperare i metadati del ruolo.

Per assistenza nella scelta dei ruoli predefiniti più appropriati, consulta Trovare i ruoli predefiniti giusti.

Per un elenco dei ruoli predefiniti, consulta la documentazione di riferimento sui ruoli.

Ruoli personalizzati

IAM consente anche di creare ruoli IAM personalizzati. I ruoli personalizzati ti aiutano ad applicare il principio del privilegio minimo, perché contribuiscono a garantire che le entità della tua organizzazione dispongano solo delle autorizzazioni necessarie.

I ruoli personalizzati sono definiti dall'utente e ti consentono di raggruppare una o più autorizzazioni supportate per soddisfare le tue esigenze specifiche. Quando crei un ruolo personalizzato, devi scegliere un'organizzazione o un progetto in cui crearlo. Puoi quindi concedere il ruolo personalizzato all'organizzazione o al progetto, nonché a qualsiasi risorsa all'interno di questa organizzazione o progetto. Puoi creare solo 300 per organizzazione e 300 per progetto.

Puoi concedere un ruolo personalizzato solo all'interno del progetto o dell'organizzazione in cui l'hai creato. Non puoi concedere ruoli personalizzati su altri progetti o organizzazioni o su risorse all'interno di altri progetti o organizzazioni.

Puoi creare un ruolo personalizzato combinando una o più autorizzazioni IAM supportate.

Autorizzazioni supportate

Puoi includere molte autorizzazioni IAM nei ruoli personalizzati, ma non tutte. Ogni autorizzazione ha uno dei seguenti livelli di assistenza per l'utilizzo nei ruoli personalizzati:

Livello di assistenza	Descrizione
SUPPORTED	L'autorizzazione è completamente supportata nei ruoli personalizzati.
TESTING	Google sta testando l'autorizzazione per verificarne la compatibilità con i ruoli personalizzati. Puoi includere l'autorizzazione nei ruoli personalizzati, ma potresti notare un comportamento imprevisto. Non consigliato per l'uso in produzione.
NOT_SUPPORTED	L'autorizzazione non è supportata nei ruoli personalizzati.

Un ruolo personalizzato a livello di organizzazione può includere qualsiasi autorizzazione IAM supportata nei ruoli personalizzati. Un ruolo personalizzato a livello di progetto può contenere qualsiasi autorizzazione supportata ad eccezione di quelle che possono essere utilizzate solo a livello di organizzazione o cartella.

Il motivo per cui non puoi includere autorizzazioni specifiche per cartelle e organizzazioni nei ruoli a livello di progetto è che non fanno nulla se concesse a livello di progetto. Infatti, le risorse in Google Cloud sono organizzate in modo gerarchico. Le autorizzazioni vengono ereditate tramite la gerarchia delle risorse, il che significa che sono effettive per la risorsa e tutti i relativi discendenti. Tuttavia, le organizzazioni e le cartelle si trovano sempre sopra i progetti nella gerarchia delle risorseGoogle Cloud . Di conseguenza, non potrai mai utilizzare un'autorizzazione che ti è stata concessa a livello di progetto per accedere a cartelle o organizzazioni. Di conseguenza, le autorizzazioni specifiche per cartelle e organizzazioni, ad esempio resourcemanager.folders.list, non sono efficaci per i ruoli personalizzati a livello di progetto.

Dipendenze delle autorizzazioni

Alcune autorizzazioni sono efficaci solo se concesse insieme. Ad esempio, per aggiornare una policy di autorizzazione, devi leggerla prima di poterla modificare e scrivere. Di conseguenza, per aggiornare una policy di autorizzazione, devi quasi sempre disporre dell'autorizzazione getIamPolicy per quel servizio e tipo di risorsa, oltre all'autorizzazione setIamPolicy.

Per assicurarti che i ruoli personalizzati siano efficaci, puoi crearli in base a ruoli predefiniti con autorizzazioni simili. I ruoli predefiniti sono progettati per attività specifiche e contengono tutte le autorizzazioni necessarie per svolgerle. L'esame di questi ruoli può aiutarti a capire quali autorizzazioni vengono di solito concesse insieme. Poi puoi utilizzare queste informazioni per progettare ruoli personalizzati efficaci.

Per scoprire come creare un ruolo personalizzato basato su un ruolo predefinito, vedi Creare e gestire ruoli personalizzati.

Ciclo di vita dei ruoli personalizzati

Le sezioni seguenti descrivono le considerazioni chiave in ogni fase del ciclo di vita di un ruolo personalizzato. Puoi utilizzare queste informazioni per decidere come creare e gestire i ruoli personalizzati.

Creazione

Quando crei un ruolo personalizzato, scegli un ID, un titolo e una descrizione che ti aiutino a identificare il ruolo:

• ID ruolo: l'ID ruolo è un identificatore univoco del ruolo. Può contenere fino a 64 byte e può contenere caratteri alfanumerici maiuscoli e minuscoli, trattini bassi e punti. Non puoi riutilizzare un ID ruolo all'interno di un'organizzazione o un progetto.

  Non puoi modificare gli ID ruolo, quindi scegli con attenzione. Puoi eliminare un ruolo personalizzato, ma non puoi crearne uno nuovo con lo stesso ID nella stessa organizzazione o nello stesso progetto finché non è stato completato il processo di eliminazione di 44 giorni. Per saperne di più sulla procedura di eliminazione, consulta Eliminare un ruolo personalizzato.

• Titolo del ruolo: il titolo del ruolo viene visualizzato nell'elenco dei ruoli nella console Google Cloud . Il titolo non deve essere univoco, ma ti consigliamo di utilizzare titoli univoci e descrittivi per distinguere meglio i tuoi ruoli. Inoltre, valuta la possibilità di indicare nel titolo del ruolo se è stato creato a livello di organizzazione o di progetto.

  I titoli dei ruoli possono contenere fino a 100 byte e possono contenere caratteri alfanumerici maiuscoli e minuscoli e simboli. Puoi modificare i titoli dei ruoli in qualsiasi momento.

• Descrizione ruolo: la descrizione ruolo è un campo facoltativo in cui puoi fornire informazioni aggiuntive su un ruolo. Ad esempio, puoi includere lo scopo previsto del ruolo, la data di creazione o modifica e tutti i ruoli predefiniti su cui si basa il ruolo personalizzato. Le descrizioni possono contenere fino a 300 byte e possono contenere caratteri alfanumerici e simboli maiuscoli e minuscoli.

Tieni presente anche le dipendenze delle autorizzazioni quando crei ruoli personalizzati.

Per scoprire come creare un ruolo personalizzato basato su un ruolo predefinito, vedi Creare e gestire ruoli personalizzati.

Avvia

I ruoli personalizzati includono una fase di avvio come parte dei metadati del ruolo. Le fasi di lancio più comuni per i ruoli personalizzati sono ALPHA, BETA e GA. Queste fasi di lancio sono informative e ti aiutano a tenere traccia della preparazione di ogni ruolo per l'utilizzo su larga scala. Un'altra fase di lancio comune è DISABLED. Questa fase di lancio ti consente di disattivare un ruolo personalizzato.

Ti consigliamo di utilizzare le fasi di lancio per comunicare le seguenti informazioni sul ruolo:

• EAP o ALPHA: il ruolo è ancora in fase di sviluppo o test oppure include autorizzazioni per servizi o funzionalità che non sono ancora pubblici. Google Cloud Non è pronto per un uso generalizzato.
• BETA: Il ruolo è stato testato in modo limitato o include autorizzazioni per servizi o funzionalità Google Cloud non generalmente disponibili.
• GA: il ruolo è stato ampiamente testato e tutte le sue autorizzazioni riguardano servizi o funzionalitàGoogle Cloud generalmente disponibili.
• DEPRECATED: il ruolo non è più in uso.

Per scoprire come modificare la fase di lancio di un ruolo, vedi Modificare un ruolo personalizzato esistente.

Manutenzione

Sei responsabile della gestione dei ruoli personalizzati. Ciò include l'aggiornamento dei ruoli man mano che cambiano le responsabilità degli utenti, nonché l'aggiornamento dei ruoli per consentire agli utenti di accedere a nuove funzionalità che richiedono autorizzazioni aggiuntive.

Se basi il tuo ruolo personalizzato su ruoli predefiniti, ti consigliamo di controllare regolarmente questi ruoli predefiniti per verificare se sono state apportate modifiche alle autorizzazioni. Il monitoraggio di queste modifiche può aiutarti a decidere quando e come aggiornare il tuo ruolo personalizzato. Ad esempio, potresti notare che un ruolo predefinito è stato aggiornato con le autorizzazioni per utilizzare una nuova funzionalità di anteprima e potresti decidere di aggiungere queste autorizzazioni anche al tuo ruolo personalizzato.

Per semplificare l'individuazione dei ruoli predefiniti da monitorare, ti consigliamo di elencare tutti i ruoli predefiniti su cui si basa il ruolo personalizzato nel campo della descrizione del ruolo personalizzato. La console Google Cloud lo fa automaticamente quando utilizzi la console Google Cloud per creare un ruolo personalizzato basato su ruoli predefiniti.

Per scoprire come aggiornare le autorizzazioni e la descrizione di un ruolo personalizzato, vedi Modifica di un ruolo personalizzato esistente.

Consulta il log delle modifiche alle autorizzazioni per determinare quali ruoli e autorizzazioni sono stati modificati di recente.

In fase di disabilitazione

Se non vuoi più che i principali della tua organizzazione utilizzino un ruolo personalizzato, puoi disattivarlo. Per disattivare il ruolo, imposta la fase di lancio su DISABLED.

I ruoli disattivati vengono comunque visualizzati nelle tue norme IAM e possono essere concessi ai principal, ma non hanno alcun effetto.

Per scoprire come disattivare un ruolo personalizzato, vedi Disattivare un ruolo personalizzato.

Passaggi successivi

• Scopri come concedere ruoli IAM alle entità.
• Scopri come scegliere i ruoli predefiniti più appropriati.
• Scopri come creare ruoli personalizzati.
• Scopri di più sui casi d'uso per tipi di ruoli specifici.

• Utilizza lo strumento per la risoluzione dei problemi relativi ai criteri per capire perché un utente ha o non ha accesso a una risorsa o l'autorizzazione a chiamare un'API.