Controllo dell'accesso con IAM

Questa pagina descrive i ruoli e le autorizzazioni di Infrastructure Manager.

Infra Manager utilizza Identity and Access Management (IAM) per controllare l'accesso al servizio. Per concedere l'accesso per il deployment di risorse con Infra Manager, assegna i ruoli IAM di Infra Manager necessari all'service account che utilizzi per chiamare Infra Manager. Per informazioni dettagliate su come concedere autorizzazioni ai service account, consulta Gestire l'accesso ai service account.

Per visualizzare i deployment, le revisioni e i criteri IAM di Infra Manager non è necessario un account di servizio. Per visualizzare Infra Manager, concedi l'accesso all'utente, al gruppo o al account di servizio.

Per eseguire il deployment o visualizzare le risorse Google Cloud definite nella configurazione Terraform, devi concedere all'account di servizio autorizzazioni specifiche per queste risorse. Queste autorizzazioni si aggiungono a quelle di Infra Manager elencate in questa pagina. Per un elenco di tutti i ruoli e delle autorizzazioni che contengono, consulta Riferimento ai ruoli di base e predefiniti di Identity and Access Management.

Ruoli Infra Manager predefiniti

IAM fornisce ruoli predefiniti che concedono l'accesso a risorse Google Cloud specifiche e impediscono l'accesso non autorizzato ad altre risorse.

La tabella seguente elenca i ruoli IAM di Infra Manager e le autorizzazioni che includono:

Ruolo Descrizione Autorizzazioni
Amministratore di Infra Manager (roles/config.admin) Per un utente, controllo completo delle risorse di Infrastructure Manager config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deployments.setIamPolicy
config.deployments.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager Service Agent (roles/config.agent) Fornisci l'accesso a un account di servizio per lavorare con Infra Manager, inclusi deployment, revisioni, logging e file di stato Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
Account di servizio Infra Manager (roles/cloudconfig.serviceAgent) Quando abiliti l'API Infra Manager, il account di servizio Infra Manager viene creato automaticamente nel progetto e gli viene concesso questo ruolo per le risorse del progetto. Il account di servizio Infra Manager utilizza questo ruolo solo se necessario per eseguire azioni durante la creazione, la gestione o l'eliminazione di deployment e revisioni. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Visualizzatore Infra Manager (roles/config.viewer) Leggi i deployment, le revisioni e i criteri IAM. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Oltre ai ruoli predefiniti di Infra Manager, anche i ruoli di base Visualizzatore e Proprietario includono autorizzazioni relative a Infra Manager. Tuttavia, ti consigliamo di concedere ruoli predefiniti, ove possibile, per rispettare il principio di sicurezza del privilegio minimo.

La tabella seguente elenca i ruoli di base e i ruoli IAM di Infra Manager che includono.

Ruolo Include il ruolo
Visualizzatore roles/config.viewer
Proprietario roles/config.admin

Autorizzazioni

Le autorizzazioni che il chiamante deve avere per chiamare ogni metodo sono elencate nel riferimento API REST.

Passaggi successivi