Controllo dell'accesso con IAM

Questo documento descrive le opzioni di controllo dell'accesso per Pub/Sub Lite. Pub/Sub Lite utilizza Identity and Access Management per controllo dell'accesso.

Per concedere a un utente o a un'applicazione l'accesso alle risorse Pub/Sub Lite, concedi almeno un ruolo predefinito o personalizzato all'utente o all'account di servizio utilizzato dall'applicazione. I ruoli includono le autorizzazioni per eseguire azioni specifiche sulle risorse Pub/Sub Lite.

Ruoli predefiniti

La tabella seguente elenca i ruoli predefiniti che ti consentono di accedere alle risorse Pub/Sub Lite:

Ruolo Titolo Descrizione Autorizzazioni
roles/pubsublite.admin Pub/Sub Lite Admin Accesso completo ad argomenti e sottoscrizioni Lite. pubsublite.*
roles/pubsublite.editor Pub/Sub Lite Editor Modificare argomenti e sottoscrizioni Lite, pubblicare messaggi negli argomenti Lite e ricevere messaggi dalle sottoscrizioni Lite. pubsublite.*
roles/pubsublite.publisher Pub/Sub Lite Publisher Pubblicare messaggi negli argomenti Lite.
  • pubsublite.topics.getPartitions
  • pubsublite.topics.publish
  • pubsublite.locations.openKafkaStream
  • roles/pubsublite.subscriber Pub/Sub Lite Subscriber Ricevere messaggi dalle sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.seek
    • pubsublite.subscriptions.setCursor
    • pubsublite.subscriptions.subscribe
    • pubsublite.topics.computeHeadCursor
    • pubsublite.topics.computeMessageStats
    • pubsublite.topics.computeTimeCursor
    • pubsublite.topics.getPartitions
    • pubsublite.topics.subscribe
    • pubsublite.locations.openKafkaStream
    roles/pubsublite.viewer Pub/Sub Lite Viewer Visualizza argomenti e sottoscrizioni Lite.
    • pubsublite.operations.get
    • pubsublite.operations.list
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.list
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions

    Ruoli personalizzati

    I ruoli personalizzati possono includere qualsiasi autorizzazione specificata. Puoi creare ruoli personalizzati che includono autorizzazioni per eseguire operazioni amministrative specifiche, come aggiornare gli argomenti Lite o eliminare gli abbonamenti Lite. Per creare ruoli personalizzati, vedi Creare e gestire ruoli personalizzati.

    La tabella seguente elenca alcuni esempi di ruoli personalizzati:

    Descrizione Autorizzazioni
    Crea e gestisci le prenotazioni Lite.
    • pubsublite.reservations.create
    • pubsublite.reservations.update
    • pubsublite.reservations.get
    • pubsublite.reservations.list
    • pubsublite.reservations.delete
    Crea e gestisci gli argomenti Lite.
    • pubsublite.topics.create
    • pubsublite.topics.update
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions
    • pubsublite.topics.delete
    Creare e gestire abbonamenti Lite.
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    • pubsublite.subscriptions.update
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.list
    • pubsublite.subscriptions.delete
    Crea argomenti e sottoscrizioni Lite.
    • pubsublite.topics.create
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    Modificare argomenti e sottoscrizioni Lite.
    • pubsublite.topics.update
    • pubsublite.subscriptions.update
    Eliminare argomenti e sottoscrizioni Lite.
    • pubsublite.topics.delete
    • pubsublite.subscriptions.delete

    Concessione dei ruoli in corso…

    Puoi concedere i ruoli per accedere alle risorse Pub/Sub Lite a livello di progetto. Ad esempio, puoi concedere a un account di servizio l'accesso per visualizzare qualsiasi argomento Lite in un progetto, ma non puoi concedere a un account di servizio l'accesso per visualizzare un singolo argomento Lite.

    Per concedere un ruolo a un progetto, puoi utilizzare la console Google Cloud o Google Cloud CLI.

    Per concedere un ruolo a un utente, a un account di servizio o a un altro membro:

    1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

    1. Fai clic su Aggiungi.

    2. Inserisci l'indirizzo email di un utente, di un account di servizio o di un altro membro.

    3. Seleziona un ruolo.

    4. Fai clic su Salva.

    Per concedere un ruolo a un utente, a un account di servizio o a un altro membro, esegui il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=ROLE_ID

    Sostituisci quanto segue:

    Puoi anche ottenere un file JSON o YAML con il criterio IAM corrente, aggiungere più ruoli o membri al file e poi aggiornare il criterio. Per leggere e gestire il criterio, utilizza Google Cloud CLI, l'API IAM o IAM. Per maggiori dettagli, vedi Controllare l'accesso programmaticamente.

    Passaggi successivi