Cette page explique comment créer une règle d'accès au niveau de l'organisation pour votre et des stratégies applicables aux dossiers et projets de votre organisation.
Avant de commencer
- Assurez-vous de disposer des autorisations appropriées pour pouvoir utiliser Access Context Manager.
Créer une règle d'accès au niveau de l'organisation
Pour une organisation, vous ne pouvez pas créer de règle d'accès au niveau de l'organisation si un une règle d'accès au niveau de l'organisation existe pour cette organisation.
Console
Lorsque vous créez un niveau d'accès, une règle d'accès par défaut est créée automatiquement. Aucune étape manuelle supplémentaire n'est requise.
gcloud
Pour créer une règle d'accès au niveau de l'organisation, utilisez la méthode create
.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.
Un résultat semblable aux lignes suivantes doit s'afficher (où POLICY_NAME) est un identifiant numérique unique pour la stratégie. assigné par Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Ensuite, définissez votre règle par défaut.
API
Pour créer une règle d'accès au niveau de l'organisation:
Créez un corps de requête.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.
Créez la stratégie d'accès en appelant la méthode
accessPolicies.create
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation
qui fournit des détails sur l'opération POST
.
Créer une règle d'accès limitée et la déléguer
Seul VPC Service Controls permet de créer une règle d'accès limité. Vous devez continuer à utiliser les règles au niveau de l'organisation pour Google Cloud tels qu'Identity-Aware Proxy (IAP).
Console
Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès parente de la règle limitée. Par exemple, vous pouvez sélectionner la règle d'administration
default policy
.Cliquez sur Gérer les règles.
Sur la page Gérer VPC Service Controls, cliquez sur Créer.
Sur la page Créer une règle d'accès, saisissez un nom pour la règle d'accès limitée dans le champ Nom de la règle d'accès.
Le nom de la règle d'accès limitée peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_
). Le nom de la règle d'accès limitée est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.Pour spécifier un niveau d'accès pour la règle d'accès, cliquez sur Niveaux d'accès.
Spécifiez un projet ou un dossier comme niveau d'accès de la règle d'accès.
Pour sélectionner un projet que vous souhaitez ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un projet.
Dans la boîte de dialogue Ajouter un projet, cochez la case correspondant à ce projet.
Cliquez sur OK. Le projet ajouté apparaît dans la section Niveaux d'accès.
Pour sélectionner un dossier à ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un dossier.
Dans la boîte de dialogue Ajouter des dossiers, cochez la case correspondant à ces dossiers.
Cliquez sur OK. Le dossier ajouté apparaît dans la section Niveaux d'accès.
Pour déléguer l'administration de la règle d'accès limitée, cliquez sur Comptes principaux.
Pour spécifier le compte principal et le rôle que vous souhaitez lier à la règle d'accès, procédez comme suit :
Dans le volet Comptes principaux, cliquez sur Ajouter des comptes principaux.
Dans la boîte de dialogue Ajouter des comptes principaux, sélectionnez un compte principal, tel qu'un nom d'utilisateur ou un compte de service.
Sélectionnez le rôle que vous souhaitez associer au compte principal, tel que les rôles d'éditeur ou de lecteur.
Cliquez sur Enregistrer. Le compte principal et le rôle ajoutés apparaissent dans la section Comptes principaux.
Sur la page Créer une règle d'accès, cliquez sur Créer une règle d'accès.
gcloud
Pour créer une règle d'accès limitée, utilisez la commande gcloud access-context-manager policies create
.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_
). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.SCOPE correspond au dossier ou au projet pour lequel la règle est applicable. Vous ne pouvez spécifier qu'un seul dossier ou projet en tant que niveau d'accès. Le niveau d'accès doit exister au sein de l'organisation spécifiée. Si vous ne spécifiez pas de niveau d'accès, la règle s'applique à l'ensemble de l'organisation.
Le résultat suivant s'affiche (où POLICY_NAME est un identifiant numérique unique pour la règle attribué par Google Cloud) :
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Pour déléguer l'administration en associant un compte principal et un rôle à une règle d'accès limitée, utilisez la commande add-iam-policy-binding
.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Où :
POLICY est l'ID de la règle ou l'identifiant complet de la règle.
PRINCIPAL est le compte principal pour lequel vous souhaitez ajouter la liaison. Spécifiez au format suivant :
user|group|serviceAccount:email
oudomain:domain
.ROLE est le nom du rôle à attribuer au compte principal. Le nom du rôle correspond au chemin complet d'un rôle prédéfini, tel que
roles/accesscontextmanager.policyReader
, ou à l'ID d'un rôle personnalisé, tel queorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader
.
API
Pour créer une règle d'accès limitée, procédez comme suit :
Créez un corps de requête.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
SCOPE correspond au dossier ou au projet pour lequel la règle est applicable.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_
). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
Créez la stratégie d'accès en appelant la méthode
accessPolicies.create
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation
qui fournit des détails sur l'opération POST
.
Pour déléguer l'administration de la règle d'accès limitée, procédez comme suit :
Créez un corps de requête.
{ "policy": "IAM_POLICY", }
Où :
- IAM_POLICY est un ensemble de liaisons. Une liaison associe un ou plusieurs membres, ou comptes principaux, à un seul rôle. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google ou des domaines. Un rôle est une liste nommée d'autorisations. Chaque rôle peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.
Créez la stratégie d'accès en appelant la méthode
accessPolicies.setIamPolicy
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse contient une instance de policy
.