Contrôle des accès

Cette page décrit les options de contrôle des accès à votre disposition pour l'API Cloud Asset.

Présentation

Cloud Asset Inventory utilise la gestion de l'authentification et des accès (IAM) pour le contrôle des accès.

Dans l'API Cloud Asset, le contrôle des accès peut être configuré au niveau du projet ou au niveau de l'organisation. Par exemple, vous pouvez accorder à un groupe de développeurs l'accès à toutes les ressources Cloud Asset Inventory d'un projet.

Pour obtenir une description détaillée d'IAM et de ses fonctionnalités, consultez le guide du développeur IAM, en particulier la section sur la gestion des stratégies IAM.

Pour chaque méthode de l'API Cloud Asset Inventory, l'appelant doit disposer des autorisations nécessaires. Pour en savoir plus, consultez la section Autorisations et rôles.

Autorisations et rôles

Cette section répertorie les autorisations et les rôles de l'API Cloud Asset pris en charge par IAM.

Autorisations requises

Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans l'API Cloud Asset ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (tels que Google Cloud Console ou le SDK Cloud).

Autorisation Méthodes d'API
cloudasset.assets.searchAllResources *.searchAllResources
cloudasset.assets.searchAllIamPolicies *.searchAllIamPolicies
cloudasset.assets.analyzeIamPolicy
*.analyzeIamPolicy
*.analyzeIamPolicyLongrunning
cloudasset.feeds.get *.getFeed
cloudasset.feeds.list *.listFeeds
cloudasset.feeds.delete *.deleteFeed
cloudasset.feeds.create,
cloudasset.assets.exportResource ou
cloudasset.assets.exportIamPolicy
basé sur le content_type
*.createFeed
cloudasset.feeds.update,
cloudasset.assets.exportResource ou
cloudasset.assets.exportIamPolicy
basé sur le content_type
*.updateFeed
cloudasset.assets.exportResource,
cloudasset.assets.exportIamPolicy,
cloudasset.assets.exportOrgPolicy,
cloudasset.assets.exportOSInventories ou
cloudasset.assets.exportAccessPolicy
basé sur le content_type
*.batchGetAssetsHistory
*.exportAssets
*.operations.get
cloudasset.assets.analyzeMove *.analyzeMove

Notez que, lorsque l'API *.exportAssets est utilisée pour exporter des métadonnées de ressources de types d'éléments spécifiés avec RESOURCE ou un type de contenu non spécifié, si l'appelant ne dispose pas de l'autorisation cloudasset.assets.exportResource, une autre exigence consiste à ce que l'appelant dispose des autorisations par type de ressource appropriées pour chaque type d'élément spécifié dans la requête.

Rôles

Cloud Asset Inventory dispose de deux rôles IAM :

  • Propriétaire d'éléments Cloud (roles/cloudasset.owner), qui accorde un accès complet aux métadonnées des éléments cloud. Fournit les autorisations cloudasset.* et recommender.cloudAssetInsights.*.
  • Lecteur d'éléments Cloud (roles/cloudasset.viewer), qui accorde un accès en lecture seule aux métadonnées des éléments cloud. Fournit toutes les autorisations cloudasset.assets.* (il n'accorde pas les autorisations cloudasset.feeds.*), recommender.cloudAssetInsights.get et recommender.cloudAssetInsights.list.

Choisissez le rôle approprié disposant des autorisations nécessaires à vos besoins. En général, seul le rôle Propriétaire d'éléments Cloud accorde toutes les autorisations requises pour appeler l'API Cloud Asset et autorise l'utilisation complète de toutes les méthodes.

Les rôles de base incluent les autorisations suivantes :

  • Le rôle Propriétaire (roles/owner) accorde toutes les autorisations cloudasset.*.
  • Le rôle Éditeur (roles/editor) accorde les autorisations cloudasset.assets.search* et cloudasset.assets.analyzeIamPolicy.
  • Le rôle Lecteur (roles/viewer) accorde les autorisations cloudasset.assets.search* et cloudasset.assets.analyzeIamPolicy.

Nous vous recommandons d'attribuer l'un des rôles Cloud Asset plutôt qu'un rôle de base, car les rôles de base incluent de nombreuses autorisations pour d'autres services Google Cloud et peuvent entraîner l'attribution d'un niveau d'accès plus important que prévu.

Gérer l'accès

Vous pouvez attribuer des rôles aux utilisateurs au niveau de l'organisation, du dossier ou du projet. Pour plus d'informations, consultez la page Attribuer, modifier et révoquer les accès des membres du projet.

VPC Service Controls

VPC Service Controls peut être utilisé avec Cloud Asset Inventory pour renforcer la sécurité de vos éléments. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour en savoir plus sur les limites liées à l'utilisation de Cloud Asset Inventory avec VPC Service Controls, consultez la page Produits compatibles et limites.