Cette page décrit les options de contrôle des accès à votre disposition pour l'API Cloud Asset.
Présentation
Cloud Asset Inventory utilise la gestion de l'authentification et des accès (IAM) pour le contrôle des accès.
Dans l'API Cloud Asset, le contrôle des accès peut être configuré au niveau du projet ou au niveau de l'organisation. Par exemple, vous pouvez accorder à un groupe de développeurs l'accès à toutes les ressources Cloud Asset Inventory d'un projet.
Pour obtenir une description détaillée d'IAM et de ses fonctionnalités, consultez le guide du développeur IAM, en particulier la section sur la gestion des stratégies IAM.
Pour chaque méthode de l'API Cloud Asset Inventory, l'appelant doit disposer des autorisations nécessaires. Pour en savoir plus, consultez la section Autorisations et rôles.
Autorisations et rôles
Cette section répertorie les autorisations et les rôles de l'API Cloud Asset pris en charge par IAM.
Autorisations requises
Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans l'API Cloud Asset ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (par exemple, Google Cloud Console ou la CLI Google Cloud).
| Permission | Méthodes d'API |
|---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy
| *.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
cloudasset.assets.analyzeIamPolicy,cloudasset.assets.searchAllResources etcloudasset.assets.searchAllIamPolicies |
*.batchGetEffectiveIamPolicies |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicyen fonction du content_type
|
*.createFeed |
cloudasset.feeds.update,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicyen fonction du content_type
|
*.updateFeed |
cloudasset.assets.exportResource,cloudasset.assets.exportIamPolicy,cloudasset.assets.exportOrgPolicy,cloudasset.assets.exportOSInventories oucloudasset.assets.exportAccessPolicyd'après le content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource,cloudasset.assets.listIamPolicy,cloudasset.assets.listOrgPolicy,cloudasset.assets.listAccessPolicy oucloudasset.assets.listOSInventoriesd'après le content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Notez que, lorsque l'API *.exportAssets est utilisée pour exporter des métadonnées de ressources de types d'éléments spécifiés avec RESOURCE ou un type de contenu non spécifié, si l'appelant ne dispose pas de l'autorisation cloudasset.assets.exportResource, une autre exigence consiste à ce que l'appelant dispose des autorisations par type de ressource appropriées pour chaque type d'élément spécifié dans la requête.
Rôles
Cloud Asset Inventory dispose de deux rôles IAM :
- Propriétaire d'éléments Cloud (
roles/cloudasset.owner), qui accorde un accès complet aux métadonnées des éléments cloud. Ce rôle accorde toutes les autorisationscloudasset.*etrecommender.cloudAssetInsights.*. - Lecteur d'éléments Cloud (
roles/cloudasset.viewer), qui accorde un accès en lecture seule aux métadonnées des éléments cloud. Ce rôle accorde toutes les autorisationscloudasset.assets.*(à l'exception des autorisationscloudasset.feeds.*etcloudasset.savedqueries.*),recommender.cloudAssetInsights.getetrecommender.cloudAssetInsights.list.
Choisissez le rôle approprié disposant des autorisations nécessaires à vos besoins. En général, seul le rôle Propriétaire d'éléments Cloud accorde toutes les autorisations requises pour appeler l'API Cloud Asset et autorise l'utilisation complète de toutes les méthodes.
Les rôles de base incluent les autorisations suivantes :
- Le rôle Propriétaire (
roles/owner) accorde toutes les autorisationscloudasset.*. - Le rôle Éditeur (
roles/editor) accorde les autorisationscloudasset.assets.search*etcloudasset.assets.analyzeIamPolicy. - Le rôle Lecteur (
roles/viewer) accorde les autorisationscloudasset.assets.search*etcloudasset.assets.analyzeIamPolicy.
Nous vous recommandons d'attribuer l'un des rôles Cloud Asset plutôt qu'un rôle de base, car les rôles de base incluent de nombreuses autorisations pour d'autres services Google Cloud et peuvent entraîner l'attribution d'un niveau d'accès plus important que prévu.
Gérer l'accès
Vous pouvez attribuer des rôles aux utilisateurs au niveau de l'organisation, du dossier ou du projet. Pour en savoir plus, consultez la page Accorder, modifier et révoquer les accès.
VPC Service Controls
VPC Service Controls peut être utilisé avec Cloud Asset Inventory pour renforcer la sécurité de vos éléments. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Pour en savoir plus sur les limites liées à l'utilisation de Cloud Asset Inventory avec VPC Service Controls, consultez la page Produits compatibles et limites.