Accorder l'accès aux projets

Accordez et contrôlez l'accès à votre projet Google Cloud Platform et à ses ressources en attribuant des rôles. Vous pouvez attribuer des rôles aux membres du projet et aux comptes de service.

Un compte de service représente une identité de service Google Cloud, comme App Engine, et peut être utilisé pour accéder à d'autres services. Pour en savoir plus sur l'utilisation des comptes de service dans App Engine, consultez la page Autoriser des applications.

Choisir le bon contrôle d'accès

Attribuez des rôles aux membres d'un projet et aux comptes de service afin de définir le degré d'accès à votre projet GCP. Vous pouvez utiliser les rôles IAM (Identity and Access Management) pour des contrôles d'accès plus précis. Pour en savoir plus sur les différents rôles App Engine, consultez la page Contrôle des accès.

Les rôles primitifs de propriétaire, d'éditeur et de lecteur sont généralement plus simples à utiliser, mais les rôles prédéfinis offrent des options d'accès plus détaillées. Si vous venez d'essayer App Engine, l'approche la plus simple en matière de contrôle d'accès consiste à accorder le rôle d'éditeur à toutes les personnes impliquées dans le projet, en suivant les instructions ci-dessous pour définir des autorisations. Notez que seul un propriétaire peut créer des applications App Engine dans le projet et ajouter d'autres personnes au projet.

Lorsque votre projet est prêt pour des rôles plus complexes :

  1. Identifiez les différentes fonctions professionnelles devant accéder au projet.

  2. Configurez un groupe Google pour chacune de ces fonctions professionnelles.

  3. Ajoutez des membres à chaque groupe Google selon vos besoins.

  4. Suivez les instructions ci-dessous pour définir des autorisations, afin d'ajouter chaque groupe Google en tant que membre du projet et de définir des rôles pour chaque groupe.

Définir des autorisations

Pour ajouter un membre du projet et définir des autorisations :

  1. Dans la console Google Cloud Platform, accédez à la page "IAM et administration" contenant les autorisations pour votre projet :

    Accéder à la page "IAM et administration"

  2. Cliquez sur Ajouter un membre pour ajouter des membres au projet, puis définissez leurs rôles à l'aide du menu déroulant. Vous pouvez ajouter l'adresse e-mail d'un utilisateur spécifique. Si vous utilisez Google Groupes pour gérer les rôles de groupe, vous avez également la possibilité d'indiquer l'adresse d'un groupe Google (example-google-group@googlegroups.com).

    Capture d'écran Ajouter des membres

  3. Attribuez un rôle.

Pour afficher les descriptions et un comparatif de tous les rôles App Engine, et pour en savoir plus sur les limitations, consultez la page Contrôle des accès.

Le menu déroulant contient d'autres rôles qui s'appliquent à d'autres produits Google Cloud Platform. Pour en savoir plus sur ces rôles, consultez la section Rôles prédéfinis.

Déployer à l'aide de rôles IAM

Vous pouvez accorder l'autorisation de déployer de nouvelles versions d'applications sur votre projet GCP en attribuant les rôles IAM appropriés à un compte utilisateur.

Le rôle "Utilisateur à l'origine du déploiement App Engine" est recommandé pour un compte utilisateur chargé de déployer uniquement des applications. Le rôle "Administrateur App Engine" peut également déployer des applications, mais accorde des privilèges supplémentaires. Selon les fichiers de configuration à déployer, vous devrez peut-être également attribuer des rôles supplémentaires à un compte, comme expliqué dans la procédure ci-dessous.

Configurer le trafic

Par défaut, un compte utilisateur doté du rôle "Utilisateur à l'origine du déploiement App Engine" n'est pas autorisé à migrer ou à répartir le trafic vers une version d'une application. Toutefois, si un déploiement cible une version existante qui achemine actuellement du trafic, la version mise à jour de cette application conservera les paramètres de trafic d'origine de la version écrasée.

Par exemple, si la version 20201155example achemine actuellement du trafic dans votre application, lorsque vous exécutez la commande gcloud app deploy --version 20201155example, la version mise à jour remplacera la version existante, puis commencera à acheminer le trafic.

Si un compte utilisateur doit être responsable de la configuration du trafic, envisagez d'utiliser les rôles "Administrateur App Engine" ou "Administrateur de services App Engine".

Avant de commencer

Avant qu'un compte utilisateur puisse déployer des applications utilisant un rôle IAM :

Pour accorder à un compte utilisateur la possibilité de déployer sur App Engine :

  1. Dans la console Google Cloud Platform, accédez à la page "IAM et administration" contenant les autorisations pour votre projet :

    Accéder à la page "IAM et administration"

  2. Cliquez sur Ajouter un membre pour ajouter le compte utilisateur au projet, puis sélectionnez tous les rôles requis pour ce compte à l'aide du menu déroulant

    • Les rôles obligatoires permettent à un compte d'effectuer un déploiement sur App Engine.
      1. Définissez l'un des rôles suivants :
        • Utilisez le rôle App Engine > Utilisateur à l'origine du déploiement App Engine pour permettre au compte de déployer une version d'une application.
        • Pour l'autoriser également à déployer les fichiers dos.yaml ou dispatch.yaml avec une application, utilisez plutôt le rôle App Engine > Administrateur App Engine.
        Le compte utilisateur dispose désormais des autorisations nécessaires pour déployer des applications à l'aide de l'API Admin.
      2. Pour autoriser le déploiement des applications à l'aide des outils App Engine, vous devez également attribuer au compte utilisateur tous les rôles ci-dessous.
        • Rôle Stockage > Administrateur de l'espace de stockage : autorisations permettant d'utiliser des outils pour effectuer des importations dans Cloud Storage.
        • Rôle Cloud Build > Éditeur Cloud Build : autorisations permettant d'utiliser des outils pour exploiter le service Cloud Build.
          Si ce rôle ne s'affiche pas, vous devez d'abord activer l'API Cloud Build :
          Accéder à la page "Bibliothèque d'API"
    • Facultatif. Attribuez au compte utilisateur les rôles ci-dessous pour l'autoriser à importer des modifications de configuration supplémentaires.
      • Rôle Datastore > Administrateur de l'index Datastore : autorisations permettant d'importer des fichiers index.yaml.
      • Rôle Cloud Scheduler > Administrateur Cloud Scheduler : autorisations permettant d'importer des fichiers cron.yaml.
      • Pour permettre à un compte utilisateur de déployer des modifications dans la configuration réseau par défaut, vous devez lui attribuer un rôle doté des autorisations appropriées, tel que le rôle Compute Engine > Administrateur de réseaux Compute.

Le compte utilisateur peut désormais déployer des applications sur App Engine dans le projet GCP associé. Pour plus d'informations sur le déploiement d'applications, voir Déploiement de votre application.

Si vous avez configuré les autorisations comme indiqué ci-dessus, mais que les comptes ne peuvent toujours pas déployer d'applications, procédez comme suit pour vous assurer que votre projet GCP est correctement configuré.

Par défaut, lorsque vous créez un projet GCP et l'activez dans l'environnement flexible App Engine, celui-ci dispose de toutes les autorisations et API requises pour le déploiement d'applications. Toutefois, il est possible de supprimer une ou plusieurs de ces autorisations ou API dans les paramètres du projet. Ces instructions indiquent les éléments à vérifier en cas d'échec de déploiement.

Vérifiez que les éléments suivants existent ou ont été activés dans votre projet GCP :

  1. L'application App Engine a été créée, et la facturation est activée.

  2. Les API suivantes sont activées dans la console GCP :

    1. Google App Engine Flexible Environment

      Accéder à la page "Bibliothèque d'API"

    2. API Google Cloud Build

      Aller à la page Bibliothèque d'API

  3. Sur la page "IAM et administration" de la console GCP, vérifiez que le compte de service des API Google qui est utilisé par Google Cloud Build, [PROJECT_NUMBER]>@cloudbuild.gserviceaccount.com, dispose des autorisations d'éditeur. Le compte de service doit être autorisé à écrire dans le bucket staging.[PROJECT_ID].appspot.com afin de préparer les fichiers pour Cloud Build. Par défaut, ce compte de service dispose du rôle d'éditeur sur le projet. Vous n'avez donc à apporter des modifications que si vous avez changé le rôle de ce compte de service :

    Accéder à la page "Comptes de service"

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement flexible App Engine pour les documents Ruby