Questa pagina descrive come concedere, modificare e revocare l'accesso a progetti, cartelle e organizzazioni. Per scoprire come gestire l'accesso ad altre risorse, consulta le seguenti guide:
In Identity and Access Management (IAM), l'accesso viene concesso tramite criteri di autorizzazione, inoltre noti come criteri IAM. Un criterio di autorizzazione è collegato risorsa Google Cloud. Ogni criterio di autorizzazione contiene una raccolta di ruoli associazioni che associano una o più entità, come utenti o servizio. con un ruolo IAM. Queste associazioni di ruoli concedono ruoli specificati alle entità, sia sulla risorsa cui il criterio di autorizzazione collegati e su tutti i discendenti di quella risorsa. Per ulteriori informazioni sui criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Puoi gestire l'accesso a progetti, cartelle e organizzazioni con il console Google Cloud, Google Cloud CLI, API REST o Resource Manager librerie client.
Prima di iniziare
Enable the Resource Manager API.
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C#
Per utilizzare gli .NET esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Java
Per utilizzare gli Java esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Python
Per utilizzare gli Python esempi in questa pagina in una località dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per ulteriori informazioni, vedi Configurare l'autenticazione per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Ruoli obbligatori
Quando crei un progetto, una cartella o un'organizzazione, ti viene assegnato automaticamente un ruolo che ti consente di gestire l'accesso per la risorsa in questione. Per ulteriori informazioni informazioni, consulta Criteri predefiniti.
Se non hai creato tu il progetto, la cartella o l'organizzazione, assicurati di avere i ruoli necessari per gestire l'accesso a quella risorsa.
Per ottenere le autorizzazioni necessarie per gestire l'accesso a un progetto, a una cartella o a un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM nella risorsa per cui vuoi gestire l'accesso (progetto, cartella o organizzazione):
-
Per gestire l'accesso a un progetto:
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) -
Per gestire l'accesso a una cartella:
Amministratore cartelle (
roles/resourcemanager.folderAdmin
) -
Per gestire l'accesso a progetti, cartelle e organizzazioni:
Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
) -
Per gestire l'accesso a quasi tutte le risorse Google Cloud:
Amministratore sicurezza (
roles/iam.securityAdmin
)
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire l'accesso a un progetto, a una cartella o a un'organizzazione. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire l'accesso a un progetto, una cartella o un'organizzazione sono necessarie le seguenti autorizzazioni:
-
Per gestire l'accesso ai progetti:
-
resourcemanager.projects.getIamPolicy
-
resourcemanager.projects.setIamPolicy
-
-
Per gestire l'accesso alle cartelle:
-
resourcemanager.folders.getIamPolicy
-
resourcemanager.folders.setIamPolicy
-
-
Per gestire l'accesso alle organizzazioni:
-
resourcemanager.organizations.getIamPolicy
-
resourcemanager.organizations.setIamPolicy
-
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli o altri ruoli predefiniti.
Visualizza accesso attuale
Puoi visualizzare chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione utilizzando la console Google Cloud, gcloud CLI, l'API REST Librerie client di Resource Manager.
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
La console Google Cloud elenca tutte le entità a cui è stato concesso ruoli nel progetto, nella cartella o nell'organizzazione. Questo elenco include alle entità che hanno ereditato ruoli nella risorsa dalle risorse padre. Per ulteriori informazioni sull'ereditarietà dei criteri, consulta Eredità dei criteri e la gerarchia delle risorse.
(Facoltativo) Per visualizzare le concessioni di ruoli per gli agenti di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per vedere chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione, richiedi l'autorizzazione criterio per la risorsa. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
Per ottenere il criterio di autorizzazione per la risorsa, esegui il comando
get-iam-policy
la risorsa:gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
Fornisci i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa che vuoi accesso in visualizzazione. Utilizza uno di questi valori:projects
,resource-manager folders
oorganizations
. -
RESOURCE_ID
: il tuo progetto, la tua cartella e il tuo progetto Google Cloud o ID organizzazione. Gli ID progetto sono alfanumerici,my-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
FORMAT
: il formato desiderato per il criterio. Utilizzajson
oyaml
. -
PATH
: il percorso di un nuovo file di output per il criterio.
Ad esempio, il seguente comando recupera il criterio per il progetto
my-project
e lo salva nella home directory in formato JSON:gcloud projects get-iam-policy my-project --format=json > ~/policy.json
-
C#
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Per vedere chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione, richiedi l'autorizzazione criterio per la risorsa. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. Per imparare a recuperare il criterio di autorizzazione per una cartella o un'organizzazione, consulta la documentazione della libreria client di Resource Manager per il tuo linguaggio di programmazione.
Java
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
Per vedere chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione, richiedi l'autorizzazione criterio per la risorsa. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. Per imparare a recuperare il criterio di autorizzazione per una cartella o un'organizzazione, consulta la documentazione della libreria client di Resource Manager per il tuo linguaggio di programmazione.
Python
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
Per vedere chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione, richiedi l'autorizzazione criterio per la risorsa. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. A scopri come ottenere il criterio di autorizzazione per una cartella o un'organizzazione, rivedi il Libreria client di Resource Manager documentazione per il tuo linguaggio di programmazione.
REST
Per vedere chi ha accesso al tuo progetto, alla tua cartella o alla tua organizzazione, richiedi l'autorizzazione criterio per la risorsa. Per scoprire come interpretare i criteri di autorizzazione, consulta Informazioni sui criteri di autorizzazione.
L'API Resource Manager
getIamPolicy
ottiene il criterio di autorizzazione di un progetto, una cartella o un'organizzazione.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
API_VERSION
: la versione dell'API da utilizzare. Per progetti e organizzazioni, usav1
. Per le cartelle, usav2
.RESOURCE_TYPE
: il tipo di risorsa di cui vuoi gestire il criterio. Utilizza il valoreprojects
,folders
oppureorganizations
.RESOURCE_ID
: il tuo account Google Cloud un ID progetto, organizzazione o cartella. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.POLICY_VERSION
: la versione del criterio da restituire. Le richieste devono specificare la versione del criterio più recente, ovvero la versione del criterio 3. Consulta la sezione Specificare una versione del criterio quando si riceve un criterio per maggiori dettagli.
Metodo HTTP e URL:
POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione della risorsa. Ad esempio:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/owner", "members": [ "user:owner@example.com" ] } ] }
Concedere o revocare un singolo ruolo
Puoi utilizzare la console Google Cloud e gcloud CLI per concedi o revoca un singolo ruolo per una singola entità, senza modificare automaticamente il criterio di autorizzazione della risorsa. I tipi comuni di entità includono Google Account, account di servizio, gruppi Google e domini. Per un elenco di tutti i tipi principali, consulta Concetti correlati all'identità.
In genere, le modifiche ai criteri vengono applicate entro 2 minuti. Tuttavia, in alcuni casi, la propagazione delle modifiche nel sistema può richiedere 7 minuti o più.
Se hai bisogno di aiuto per identificare il ruolo predefinito più appropriato, consulta Scegli i ruoli predefiniti.
Concedi un singolo ruolo
Per concedere un singolo ruolo a un'entità:
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Seleziona un'entità a cui concedere un ruolo:
Per concedere un ruolo a un'entità che dispone già di altri ruoli nella risorsa, trova una riga contenente l'entità, fai clic
Modifica entità nella riga corrispondente, e fai clic su Aggiungi un altro ruolo.Per concedere un ruolo a un agente di servizio, seleziona Includi Concedi i ruoli fornite da Google per vedere il relativo indirizzo email.
Per concedere un ruolo a un'entità che non ha ruoli esistenti nel risorsa, fai clic su
Concedi Accedi, poi inserisci l'indirizzo email o un altro identificatore dell'entità.
Seleziona un ruolo da concedere dall'elenco a discesa. Per le best practice sulla sicurezza, scegli un ruolo che includa solo le autorizzazioni necessarie all'entità.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo nella risorsa.
Per concedere un ruolo a un'entità per più progetti, cartelle o organizzazioni, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Gestisci risorse.
Seleziona tutte le risorse per cui vuoi concedere le autorizzazioni.
Se il riquadro informazioni non è visibile, fai clic su Mostra riquadro informazioni. Quindi, fai clic su Autorizzazioni.
Seleziona un'entità a cui concedere un ruolo:
Per concedere un ruolo a un'entità che ne ha già altri, trova una riga contenente l'entità, fai clic su
Modifica entità nella riga e poi su Aggiungi un altro ruolo.Per concedere un ruolo a un'entità che non dispone già di altri ruoli, fai clic su
Aggiungi entità, quindi inserisci l'indirizzo email o un altro identificatore dell'entità.
Seleziona un ruolo da concedere dall'elenco a discesa.
(Facoltativo) Aggiungi una condizione al ruolo.
Fai clic su Salva. All'entità viene concesso il ruolo selezionato in ciascuno risorse selezionate.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
La
add-iam-policy-binding
consente di concedere rapidamente un ruolo a un'entità.Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa che vuoi gestire l'accesso. Usaprojects
,resource-manager folders
oorganizations
. -
RESOURCE_ID
: il tuo progetto, la tua cartella e il tuo progetto Google Cloud o ID organizzazione. Gli ID progetto sono alfanumerici, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
PRINCIPAL
: un identificatore per il principale o il membro, solitamente nella forma seguente:PRINCIPAL_TYPE:ID
. Ad esempio:user:my-user@example.com
. Per un elenco completo dei valori chePRINCIPAL
può avere, consulta Riferimento all'associazione dei criteri.Per il tipo di entità
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o Cloud Identity. Per scoprire come impostare un dominio Cloud Identity, consulta panoramica di Cloud Identity. -
ROLE_NAME
: il nome del ruolo che vuoi da revocare. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta Informazioni sui ruoli.
- Ruoli predefiniti:
-
CONDITION
: la condizione da aggiungere all'associazione di ruolo. Se non vuoi aggiungere una condizione, utilizza il valoreNone
. Per maggiori informazioni sulle condizioni, consulta la panoramica delle condizioni.
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \ --member=PRINCIPAL --role=ROLE_NAME \ --condition=CONDITION
Windows (PowerShell)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ` --member=PRINCIPAL --role=ROLE_NAME ` --condition=CONDITION
Windows (cmd.exe)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^ --member=PRINCIPAL --role=ROLE_NAME ^ --condition=CONDITION
La risposta contiene il criterio IAM aggiornato.
-
Revocare un singolo ruolo
Per revocare un singolo ruolo da un'entità, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Trova la riga contenente l'entità di cui vuoi revocare l'accesso. Quindi, fai clic su
Modifica entità nella corrispondente riga.Fai clic sul pulsante Elimina
per il ruolo che vuoi revocare, quindi fai clic su Salva.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per revocare rapidamente un ruolo di un utente, esegui
remove-iam-policy-binding
:gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID
--member=PRINCIPAL --role=ROLE_NAMEFornisci i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa che vuoi gestire l'accesso. Usaprojects
,resource-manager folders
oorganizations
. -
RESOURCE_ID
: il tuo progetto, la tua cartella e il tuo progetto Google Cloud o ID organizzazione. Gli ID progetto sono alfanumerici, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
PRINCIPAL
: un identificatore per l'entità oppure , che solitamente presenta il seguente formato:PRINCIPAL_TYPE:ID
. Ad esempio:user:my-user@example.com
. Per un elenco completo dei valori chePRINCIPAL
può avere, consulta Riferimento all'associazione dei criteri.Per il tipo di entità
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o Cloud Identity. Per scoprire come impostare un dominio Cloud Identity, consulta panoramica di Cloud Identity. -
ROLE_NAME
: il nome del ruolo che vuoi da revocare. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta la sezione Informazioni sui ruoli.
- Ruoli predefiniti:
Ad esempio, per revocare all'utente il ruolo Autore progetto
my-user@example.com
per il progettomy-project
:gcloud projects remove-iam-policy-binding my-project
--member=user:my-user@example.com --role=roles/resourcemanager.projectCreator -
Per assicurarti di non revocare i ruoli necessari, puoi attivare la modifica di rischio. Cambia i suggerimenti del rischio e generare avvisi quando tenti di revocare ruoli Google Cloud ha identificato come importanti.
Concedi o revoca più ruoli utilizzando la console Google Cloud
Puoi utilizzare la console Google Cloud per concedere e revocare più ruoli per: di una singola entità:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Seleziona l'entità di cui vuoi modificare i ruoli:
Per modificare i ruoli di un'entità che ne ha già nella risorsa, trova una riga contenente l'entità, fai clic su
Modifica entità nella riga e poi su Aggiungi un altro ruolo.Per modificare i ruoli di un agente di servizio, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google per visualizzarne l'indirizzo email.
Per concedere ruoli a un'entità che non ha ruoli nel risorsa, fai clic su
Concedi l'accesso, poi inserisci l'indirizzo email o un altro nome dell'entità identificativo dell'utente.
Modifica i ruoli dell'entità:
- Per concedere un ruolo a un'entità che non ha ruoli esistenti nel risorsa, fai clic su Seleziona un ruolo, quindi seleziona un ruolo da concedere dall'elenco a discesa.
- Per concedere un ruolo aggiuntivo all'entità, fai clic su Aggiungi un altro ruolo. quindi seleziona un ruolo da concedere dall'elenco a discesa.
- Per sostituire uno dei ruoli dell'entità con un altro ruolo, fai clic sull'icona ruolo esistente, quindi scegli un ruolo diverso da concedere dall'elenco a discesa dall'elenco di lettura.
- Per revocare uno dei ruoli dell'entità, fai clic sul pulsante Elimina per ogni ruolo da eliminare revocarlo.
Puoi anche aggiungere una condizione a un ruolo, modificare il relativo di un ruolo o di rimuovere la dell'oggetto in questione.
Fai clic su Salva.
Concedi o revoca più ruoli in modo programmatico
Apportare modifiche all'accesso su larga scala che comportino la concessione e la revoca di più ruoli per più entità, usa il pattern read-modify-write per aggiornare criterio di autorizzazione della risorsa:
- Leggi il criterio di autorizzazione attuale chiamando
getIamPolicy()
. - Modifica il criterio di autorizzazione, utilizzando un editor di testo o in modo programmatico, per aggiungi o rimuovi eventuali entità o associazioni di ruoli.
- Scrivi il criterio di autorizzazione aggiornato chiamando
setIamPolicy()
.
Puoi utilizzare gcloud CLI, l'API REST o Resource Manager tramite le librerie client per aggiornare il criterio di autorizzazione.
In genere, le modifiche ai criteri vengono applicate entro 2 minuti. Tuttavia, in alcuni casi, la propagazione delle modifiche nel sistema può richiedere almeno 7 minuti.
Ottieni il criterio di autorizzazione attuale
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per ottenere il criterio di autorizzazione per la risorsa, esegui il comando
get-iam-policy
per la risorsa:gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
Fornisci i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa per la quale vuoi recuperare il criterio di autorizzazione. Utilizza uno dei seguenti valori:projects
,resource-manager folders
oorganizations
. -
RESOURCE_ID
: il tuo progetto, la tua cartella e il tuo progetto Google Cloud o ID organizzazione. Gli ID progetto sono alfanumerici,my-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
FORMAT
: il formato desiderato per il criterio di autorizzazione. Utilizza le funzionalità dijson
oyaml
. -
PATH
: il percorso di un nuovo file di output per l'elemento allow .
Ad esempio, il seguente comando recupera il criterio di autorizzazione per il progetto
my-project
e la salva nella tua home directory in formato JSON:gcloud projects get-iam-policy my-project --format json > ~/policy.json
-
C#
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. A scopri come ottenere il criterio di autorizzazione di una cartella o un'organizzazione, rivedi il Libreria client di Resource Manager documentazione per il tuo linguaggio di programmazione.
Java
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. A scopri come ottenere il criterio di autorizzazione di una cartella o un'organizzazione, rivedi il Libreria client di Resource Manager documentazione per il tuo linguaggio di programmazione.
Python
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
L'esempio seguente mostra come ottenere il criterio di autorizzazione per un progetto. A scopri come ottenere il criterio di autorizzazione di una cartella o un'organizzazione, rivedi il Libreria client di Resource Manager documentazione per il tuo linguaggio di programmazione.
REST
L'API Resource Manager
getIamPolicy
ottiene il criterio di autorizzazione di un progetto, una cartella o un'organizzazione.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
API_VERSION
: la versione dell'API da utilizzare. Per progetti e organizzazioni, usav1
. Per le cartelle, usav2
.RESOURCE_TYPE
: il tipo di risorsa di cui vuoi gestire il criterio. Utilizza il valoreprojects
,folders
oppureorganizations
.RESOURCE_ID
: il tuo account Google Cloud un ID progetto, organizzazione o cartella. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.POLICY_VERSION
: la versione del criterio da utilizzare restituito. Le richieste devono specificare la versione più recente dei criteri, ovvero la versione 3. Consulta la sezione Specificare una versione del criterio quando si riceve un criterio per maggiori dettagli.
Metodo HTTP e URL:
POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy
Corpo JSON della richiesta:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione della risorsa. Ad esempio:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/owner", "members": [ "user:owner@example.com" ] } ] }
Salva la risposta in un file del tipo appropriato (
json
oyaml
).Modifica il criterio di autorizzazione
Modifica la copia locale dei tuoi contenuti in modo programmatico o utilizzando un editor di testo il criterio di autorizzazione della risorsa riflette i ruoli che vuoi concedere o revocare.
Per evitare di sovrascrivere altre modifiche, non modificare o rimuovere il valore campo
etag
del criterio di autorizzazione. Il campoetag
identifica lo stato attuale di il criterio di autorizzazione. Quando imposti il criterio di autorizzazione aggiornato, IAM confronta il valoreetag
nella richiesta con il valoreetag
esistente e scrive il criterio di autorizzazione solo se i valori corrispondono.Per modificare i ruoli concessi da un criterio di autorizzazione, devi modificare le associazioni di ruoli nel criterio di autorizzazione. Le associazioni di ruoli hanno il formato seguente:
{ "role": "ROLE_NAME", "members": [ "PRINCIPAL_1", "PRINCIPAL_2", ... "PRINCIPAL_N" ], "conditions:" { CONDITIONS } }
I segnaposto hanno i seguenti valori:
ROLE_NAME
: il nome del ruolo che vuoi assegnare concessione. Utilizza uno dei seguenti formati:- Ruoli predefiniti:
roles/SERVICE.IDENTIFIER
- Ruoli personalizzati a livello di progetto:
projects/PROJECT_ID/roles/IDENTIFIER
- Ruoli personalizzati a livello di organizzazione:
organizations/ORG_ID/roles/IDENTIFIER
Per un elenco dei ruoli predefiniti, consulta Informazioni ruoli.
- Ruoli predefiniti:
PRINCIPAL_1
,PRINCIPAL_2
,...PRINCIPAL_N
: identificatori per i principali a cui vuoi concedere il ruolo.Di solito, gli identificatori entità hanno il seguente formato:
PRINCIPAL-TYPE:ID
. Ad esempio,user:my-user@example.com
. Per un elenco completo dei valori che può assumerePRINCIPAL
, consulta la documentazione di riferimento sull'associazione dei criteri.Per il tipo di entità
user
, il nome di dominio nell'identificatore deve essere un dominio Google Workspace o Cloud Identity. Per scoprire come impostare un dominio Cloud Identity, consulta panoramica di Cloud Identity.CONDITIONS
: facoltativo. Qualsiasi condizione che specificano quando verrà concesso l'accesso.
Concedi un ruolo
Per concedere ruoli alle entità, modifica le associazioni di ruoli nel criterio di autorizzazione. Per scoprire quali ruoli puoi concedere, vedi Informazioni sui ruoli o visualizza i ruoli assegnabili per la risorsa. Per assistenza identificare i ruoli predefiniti più appropriati, consultare Scegli i ruoli predefiniti.
Facoltativamente, puoi utilizzare le condizioni per concedere ruoli solo quando vengono soddisfatti determinati requisiti.
Per concedere un ruolo già incluso nel criterio di autorizzazione, aggiungi l'entità a un'associazione di ruoli esistente:
gcloud
Modifica il criterio di autorizzazione restituito aggiungendo l'entità a un ruolo esistente associazione. Questa modifica avrà effetto solo dopo che avrai impostare il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede il ruolo Revisore sicurezza (
roles/iam.securityReviewer
) akai@example.com
:{ "role": "roles/iam.securityReviewer", "members": [ "user:kai@example.com" ] }
Per concedere lo stesso ruolo a
raha@example.com
, aggiungiraha@example.com
al associazione di ruoli esistente:{ "role": "roles/iam.securityReviewer", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
C#
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Go
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Java
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Python
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
REST
Modifica il criterio di autorizzazione restituito aggiungendo l'entità a un ruolo esistente associazione. Questa modifica non verrà applicata finché non imposti il criterio di autorizzazione aggiornato.
Ad esempio, immagina che il criterio di autorizzazione contenga la seguente associazione di ruoli, che concede il ruolo Revisore sicurezza (
roles/iam.securityReviewer
) akai@example.com
:{ "role": "roles/iam.securityReviewer", "members": [ "user:kai@example.com" ] }
Per concedere lo stesso ruolo a
raha@example.com
, aggiungiraha@example.com
al associazione di ruoli esistente:{ "role": "roles/iam.securityReviewer", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
Per concedere un ruolo non ancora incluso nel criterio di autorizzazione, aggiungi un nuovo ruolo associazione:
gcloud
Modifica il criterio di autorizzazione aggiungendo una nuova associazione di ruolo che conceda il ruolo all'entità. Questa modifica non verrà applicata finché non imposti il criterio di autorizzazione aggiornato.
Ad esempio, per concedere il ruolo Amministratore dello spazio di archiviazione Compute (
roles/compute.storageAdmin
) araha@example.com
, aggiungi la seguente associazione di ruoli all'arraybindings
per il criterio di autorizzazione:{ "role": "roles/compute.storageAdmin", "members": [ "user:raha@example.com" ] }
C#
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM C# documentazione di riferimento.
Per eseguire l'autenticazione su IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM Java documentazione di riferimento.
Per eseguire l'autenticazione su IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per autenticarti in Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM Python documentazione di riferimento.
Per autenticarti in IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per autenticarti in Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
REST
Modifica il criterio di autorizzazione aggiungendo una nuova associazione di ruoli che conceda il ruolo al principale. Questa modifica avrà effetto solo dopo che avrai impostare il criterio di autorizzazione aggiornato.
Ad esempio, per concedere il ruolo Amministratore Compute Storage (
roles/compute.storageAdmin
) araha@example.com
, aggiungi il ruolo seguente associazione all'arraybindings
per il criterio di autorizzazione:{ "role": "roles/compute.storageAdmin", "members": [ "user:raha@example.com" ] }
Puoi concedere solo ruoli relativi ai servizi API attivati. Se un servizio, come poiché Compute Engine, non è attivo, non puoi concedere ruoli correlati esclusivamente in Compute Engine. Per ulteriori informazioni, vedi Abilita e disabilita le API.
Esistono alcuni vincoli specifici per la concessione delle autorizzazioni ai progetti, soprattutto per il ruolo Proprietario (
roles/owner
). Per ulteriori informazioni, consulta la documentazione di riferimento diprojects.setIamPolicy()
.Revocare un ruolo
Per revocare un ruolo, rimuovi l'entità dall'associazione di ruolo. Se non sono presenti ad altre entità nell'associazione dei ruoli, rimuovi l'intera associazione dei ruoli.
gcloud
Revoca un ruolo modificando il criterio di autorizzazione JSON o YAML restituito dal Comando
get-iam-policy
. Questa modifica avrà effetto solo dopo che avrai impostare il criterio di autorizzazione aggiornato.Per revocare un ruolo da un'entità, elimina l'entità o l'associazione dal Array
bindings
per il criterio di autorizzazione.C#
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM C# documentazione di riferimento.
Per eseguire l'autenticazione su IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM Go documentazione di riferimento.
Per autenticarti in IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta API IAM Java documentazione di riferimento.
Per eseguire l'autenticazione su IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per autenticarti in Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Per autenticarti in Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
REST
Revoca un ruolo modificando il criterio di autorizzazione JSON o YAML restituito dal Comando
get-iam-policy
. Questa modifica avrà effetto solo dopo che avrai impostare il criterio di autorizzazione aggiornato.Per revocare un ruolo da un'entità, elimina l'entità o l'associazione dal Array
bindings
per il criterio di autorizzazione.Imposta il criterio di autorizzazione
Dopo aver modificato il criterio di autorizzazione per concedere e revocare i ruoli, chiama
setIamPolicy()
per aggiornare il criterio.gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per impostare il criterio di autorizzazione per la risorsa, esegui il comando
set-iam-policy
la risorsa:gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH
Specifica i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa che vuoi per cui impostare il criterio di autorizzazione. Utilizza uno dei seguenti valori:projects
,resource-manager folders
oorganizations
. -
RESOURCE_ID
: il tuo progetto, la tua cartella e il tuo progetto Google Cloud o ID organizzazione. Gli ID progetto sono alfanumerici, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
PATH
: il percorso di un file che contiene la nuova di autorizzazione.
La risposta contiene il criterio di autorizzazione aggiornato.
Ad esempio, il comando seguente imposta il criterio di autorizzazione archiviato in
policy.json
come criterio di autorizzazione per il progettomy-project
:gcloud projects set-iam-policy my-project ~/policy.json
-
C#
Java
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, consulta la sezione Librerie client di Resource Manager.
L'esempio seguente mostra come impostare il criterio di autorizzazione per un progetto. A scopri come impostare il criterio di autorizzazione di una cartella o un'organizzazione, rivedi il Libreria client di Resource Manager documentazione per il tuo linguaggio di programmazione.
Python
Per eseguire l'autenticazione su Resource Manager, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Prima di iniziare.
Per scoprire come installare e utilizzare la libreria client per Resource Manager, vedi Client Resource Manager librerie.
L'esempio seguente mostra come impostare il criterio di autorizzazione per un progetto. Per scoprire come impostare il criterio di autorizzazione di una cartella o un'organizzazione, consulta la documentazione della libreria client di Resource Manager per il tuo linguaggio di programmazione.
REST
L'API Resource Manager
setIamPolicy
imposta il criterio nella richiesta come nuovo criterio di autorizzazione per il progetto, la cartella o l'organizzazione.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
API_VERSION
: la versione dell'API da utilizzare. Per progetti e organizzazioni, usav1
. Per le cartelle, usav2
.RESOURCE_TYPE
: il tipo di risorsa di cui vuoi gestire il criterio. Utilizza il valoreprojects
,folders
oppureorganizations
.RESOURCE_ID
: il tuo account Google Cloud un ID progetto, organizzazione o cartella. Gli ID progetto sono stringhe alfanumeriche,my-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
POLICY
: una rappresentazione JSON del criterio che che vuoi impostare. Per ulteriori informazioni sul formato di un criterio, consulta la pagina Riferimento ai criteri.
Metodo HTTP e URL:
POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy
Corpo JSON della richiesta:
{ "policy": POLICY }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di autorizzazione aggiornato.
Passaggi successivi
- Scopri come gestire l'accesso agli account di servizio.
- Consulta la procedura generale per la gestione dell'accesso ad altre risorse.
- Scopri come scegli i ruoli predefiniti più appropriati.
- Utilizza lo strumento per la risoluzione dei problemi relativi ai criteri per capire perché un utente o non ha accesso a una risorsa o non dispone dell'autorizzazione per chiamare un'API.
- Scopri come visualizza i ruoli che puoi concedere per una determinata risorsa.
- Scopri come condizionare l'accesso di un'entità con associazioni di ruoli condizionali.
- Scopri come proteggere le tue applicazioni con Identity-Aware Proxy.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamenteSalvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-09-28 UTC.
[{ "type": "thumb-down", "id": "hardToUnderstand", "label":"Hard to understand" },{ "type": "thumb-down", "id": "incorrectInformationOrSampleCode", "label":"Incorrect information or sample code" },{ "type": "thumb-down", "id": "missingTheInformationSamplesINeed", "label":"Missing the information/samples I need" },{ "type": "thumb-down", "id": "translationIssue", "label":"Problema di traduzione" },{ "type": "thumb-down", "id": "otherDown", "label":"Altra" }] [{ "type": "thumb-up", "id": "easyToUnderstand", "label":"Facile da capire" },{ "type": "thumb-up", "id": "solvedMyProblem", "label":"Il problema è stato risolto" },{ "type": "thumb-up", "id": "otherUp", "label":"Altra" }]