Gérer une règle d'accès

Cette page explique comment gérer une règle d'accès existante. Vous pouvez procéder comme suit :

Obtenir le nom et l'ETag d'une règle d'accès

Console

La console Google Cloud ne permet pas de gérer règles d'accès. Si vous souhaitez gérer votre règle d'accès, vous devez utiliser l'outil de ligne de commande gcloud ou l'API.

gcloud

Pour obtenir le nom de votre règle d'accès, utilisez la commande list. Le nom de la règle d'accès est requis pour toutes les commandes de niveau d'accès de l'outil de ligne de commande gcloud.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Où :

  • ORGANIZATION_ID est l'identifiant numérique de votre organisation.

Un résultat semblable à celui-ci s'affiche :

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Pour obtenir le nom de votre règle d'accès, appelez la méthode accessPolicies.list.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corps de la requête

Le corps de la requête doit être vide.

Corps de la réponse

En cas de succès, le corps de la réponse ressemblera à ceci :

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Où :

Définir la règle d'accès par défaut de l'outil de ligne de commande gcloud

Lorsque vous utilisez l'outil de ligne de commande gcloud, vous pouvez définir une règle d'accès par défaut. Lorsque vous définissez une règle par défaut, vous n'avez plus besoin de la spécifier à chaque utilisation d'une commande Access Context Manager.

Pour définir une règle d'accès par défaut, utilisez la commande config.

gcloud config set access_context_manager/policy POLICY_NAME

Où :

Déléguer une stratégie d'accès

Console

La console Google Cloud ne permet pas de gérer règles d'accès. Si vous souhaitez gérer votre règle d'accès, vous devez utiliser l'outil de ligne de commande gcloud ou l'API.

gcloud

Pour déléguer l'administration en associant un compte principal et un rôle à une règle d'accès limitée, utilisez la commande add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Où :

  • POLICY est l'ID de la règle ou l'identifiant complet de la règle.

  • PRINCIPAL est le compte principal pour lequel vous souhaitez ajouter la liaison. Spécifiez au format suivant : user|group|serviceAccount:email ou domain:domain.

  • ROLE est le nom du rôle à attribuer au compte principal. Le nom du rôle correspond au chemin complet d'un rôle prédéfini, tel que roles/accesscontextmanager.policyEditor, ou à l'ID d'un rôle personnalisé, tel que organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Pour déléguer l'administration de la règle d'accès limitée, procédez comme suit :

  1. Créez un corps de requête.

    {
"policy": "IAM_POLICY",
}

    Où :

    • IAM_POLICY est un ensemble de liaisons. Une liaison associe un ou plusieurs membres, ou comptes principaux, à un seul rôle. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google ou des domaines. Un rôle est une liste nommée d'autorisations. Chaque rôle peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.

  2. Déléguez la règle d'accès en appelant accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corps de la réponse

Si la requête aboutit, le corps de la réponse contient une instance de policy.

Décrire une règle d'accès

Console

La console Google Cloud ne permet pas de gérer règles d'accès. Si vous souhaitez gérer votre règle d'accès, vous devez utiliser l'outil de ligne de commande gcloud ou l'API.

gcloud

Pour décrire votre règle d'accès, utilisez la commande describe.

gcloud access-context-manager policies describe POLICY_NAME

Où :

  • POLICY_NAME est le nom (au format numérique) de votre règle.

Le résultat suivant s'affiche :

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Pour décrire votre règle d'accès, appelez accessPolicies.get.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Où :

  • POLICY_NAME est le nom (au format numérique) de votre règle.

Corps de la requête

Le corps de la requête doit être vide.

Corps de la réponse

En cas de succès, le corps de la réponse contient un objet AccessPolicy.

Mettre à jour une règle d'accès

Console

La console Google Cloud ne permet pas de gérer règles d'accès. Si vous souhaitez gérer votre règle d'accès, vous devez utiliser l'outil de ligne de commande gcloud ou l'API.

gcloud

Pour mettre à jour votre règle d'accès, utilisez la commande update. Pour le moment, vous ne pouvez modifier que le titre de la règle.

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

Où :

  • POLICY_NAME est le nom (au format numérique) de votre règle.

  • POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.

Le résultat suivant s'affiche :

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

Pour le moment, vous ne pouvez modifier que le titre de votre règle d'accès.

Pour mettre à jour votre règle :

  1. Créez un corps de requête.

    {
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}

    Où :

    • ORGANIZATION_ID est l'identifiant numérique de votre organisation.

    • POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.

  2. Appelez accessPolicies.patch.

    PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK

    Où :

    • POLICY_NAME est le nom (au format numérique) de votre règle.

    • UPDATE_MASK est une chaîne représentant la valeur que vous souhaitez mettre à jour. Exemple :title

    Corps de la réponse

    Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation qui fournit des détails sur l'opération PATCH.

Supprimer une règle d'accès

Console

À l'heure actuelle, vous ne pouvez pas gérer des règles d'accès via la console Google Cloud. Si vous souhaitez gérer votre règle d'accès, vous devez utiliser l'outil de ligne de commande gcloud ou l'API.

gcloud

Pour supprimer une règle d'accès :

  1. Exécutez la commande delete.

    gcloud access-context-manager policies delete POLICY_NAME

    Où :

    • POLICY_NAME est le nom (au format numérique) de votre règle.

  2. Confirmez que vous souhaitez supprimer la règle d'accès.

    Exemple :

    You are about to delete policy [POLICY_NAME]

Do you want to continue (Y/n)?

    Le résultat suivant s'affiche :

    Deleted policy [1034095178592].

API

Pour supprimer votre règle d'accès, appelez la méthode accessPolicies.delete.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Où :

  • POLICY_NAME est le nom (au format numérique) de votre règle.

Corps de la requête

Le corps de la requête doit être vide.

Corps de la réponse

Si la requête aboutit, le corps de la réponse de l'appel contient une ressource Operation qui fournit des détails sur l'opération DELETE.

Étape suivante