Accorder l'accès aux projets

Accordez et contrôlez l'accès à votre projet Google Cloud Platform et à ses ressources en attribuant des rôles. Vous pouvez attribuer des rôles aux membres du projet et aux comptes de service.

Un compte de service représente une identité de service Google Cloud (comme App Engine) et permet d'accéder à d'autres services.

Choisir la bonne méthode de contrôle des accès

Attribuez des rôles aux membres d'un projet et aux comptes de service afin de définir le degré d'accès à votre projet GCP. Vous pouvez utiliser les rôles IAM (Identity and Access Management) pour des contrôles d'accès plus précis. Pour en savoir plus sur les différents rôles App Engine, consultez la page Contrôle des accès.

Les rôles primitifs de propriétaire, d'éditeur et de lecteur sont généralement plus simples à utiliser, mais les rôles prédéfinis offrent des options d'accès plus détaillées. Si vous venez d'essayer App Engine, l'approche la plus simple en matière de contrôle d'accès consiste à accorder le rôle d'éditeur à toutes les personnes impliquées dans le projet, en suivant les instructions ci-dessous pour définir des autorisations. Notez que seul un propriétaire peut créer des applications App Engine dans le projet et ajouter d'autres personnes au projet.

Lorsque votre projet est prêt pour des rôles plus complexes :

  1. Identifiez les différentes fonctions professionnelles devant accéder au projet.

  2. Configurez un groupe Google pour chacune de ces fonctions professionnelles.

  3. Ajoutez des membres à chaque groupe Google selon vos besoins.

  4. Suivez les instructions ci-dessous pour définir des autorisations, afin d'ajouter chaque groupe Google en tant que membre du projet et de définir des rôles pour chaque groupe.

Définir des autorisations

Pour ajouter un membre du projet et définir des autorisations :

  1. Dans la console Google Cloud Platform, accédez à la page "IAM et administration" contenant les autorisations pour votre projet :

    Accéder à la page "IAM et administration"

  2. Cliquez sur Ajouter un membre pour ajouter des membres au projet, puis définissez leurs rôles à l'aide du menu déroulant. Vous pouvez ajouter l'adresse e-mail d'un utilisateur spécifique. Si vous utilisez Google Groupes pour gérer les rôles de groupe, vous avez également la possibilité d'indiquer l'adresse d'un groupe Google (example-google-group@googlegroups.com).

    Capture d'écran Ajouter des membres

  3. Attribuez un rôle.

Pour afficher les descriptions et un comparatif de tous les rôles App Engine, et pour en savoir plus sur les limitations, consultez la page Contrôle des accès.

Le menu déroulant contient d'autres rôles qui s'appliquent à d'autres produits Google Cloud Platform. Pour en savoir plus sur ces rôles, consultez la section Rôles prédéfinis.

Déployer à l'aide de rôles IAM

Vous pouvez accorder l'autorisation de déployer de nouvelles versions d'applications sur votre projet GCP en attribuant les rôles IAM appropriés à un compte utilisateur.

Le rôle "Utilisateur à l'origine du déploiement App Engine" est recommandé pour un compte utilisateur chargé de déployer uniquement des applications. Le rôle "Administrateur App Engine" peut également déployer des applications, mais accorde des privilèges supplémentaires. Selon les fichiers de configuration à déployer, vous devrez peut-être également attribuer des rôles supplémentaires à un compte, comme expliqué dans la procédure ci-dessous.

Configurer le trafic

Par défaut, un compte utilisateur doté du rôle "Utilisateur à l'origine du déploiement App Engine" n'est pas autorisé à migrer ou à répartir le trafic vers une version d'une application. Toutefois, si un déploiement cible une version existante qui achemine actuellement du trafic, la version mise à jour de cette application conservera les paramètres de trafic d'origine de la version écrasée.

Par exemple, si la version 20201155example achemine actuellement du trafic dans votre application, lorsque vous exécutez la commande gcloud app deploy --version 20201155example, la version mise à jour remplacera la version existante, puis commencera à acheminer le trafic.

Si un compte utilisateur doit être responsable de la configuration du trafic, envisagez d'utiliser les rôles "Administrateur App Engine" ou "Administrateur de services App Engine".

Avant de commencer

Avant qu'un compte utilisateur puisse déployer des applications utilisant un rôle IAM :

Pour accorder à un compte utilisateur la possibilité de déployer sur App Engine :

  1. Dans la console Google Cloud Platform, accédez à la page "IAM et administration" contenant les autorisations pour votre projet :

    Accéder à la page "IAM et administration"

  2. Cliquez sur Ajouter un membre pour ajouter le compte utilisateur au projet, puis sélectionnez tous les rôles requis pour ce compte à l'aide du menu déroulant

    • Les rôles obligatoires permettent à un compte d'effectuer un déploiement sur App Engine.
      1. Définissez l'un des rôles suivants :
        • Utilisez le rôle App Engine > Utilisateur à l'origine du déploiement App Engine pour permettre au compte de déployer une version d'une application.
        • Pour l'autoriser également à déployer les fichiers dos.yaml ou dispatch.yaml avec une application, utilisez plutôt le rôle App Engine > Administrateur App Engine.
        Le compte utilisateur dispose désormais des autorisations nécessaires pour déployer des applications à l'aide de l'API Admin.
      2. Si vous souhaitez autoriser le déploiement d'applications à l'aide des outils App Engine, vous devez également attribuer au compte utilisateur le rôle Cloud Storage > Administrateur de l'espace de stockage pour permettre aux outils d'importer des fichiers dans Cloud Storage.
    • Facultatif. Attribuez au compte utilisateur les rôles suivants pour autoriser l'importation de nouveaux fichiers de configuration :
      • Rôle Datastore > Administrateur de l'index Datastore : autorisations permettant d'importer des fichiers index.yaml.
      • Rôle Cloud Scheduler > Administrateur Cloud Scheduler : autorisations permettant d'importer des fichiers cron.yaml.
      • Rôle Cloud Tasks > Administrateur de files de tâches Cloud : autorisations permettant d'importer des fichiers queue.yaml.

Le compte utilisateur peut désormais déployer des applications sur App Engine dans le projet GCP associé. Pour plus d'informations sur le déploiement d'applications, voir Déploiement de votre application.

Si vous avez configuré les autorisations comme indiqué ci-dessus, mais que les comptes ne peuvent toujours pas déployer d'applications, vérifiez que l'application App Engine a bien été créée.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement standard App Engine pour Python 2