Cette page a été traduite par l'API Cloud Translation.

Rôles IAM

Cette page décrit les rôles IAM (Identity and Access Management) que vous pouvez utiliser pour configurer Assured Workloads. Les rôles limitent la capacité d'un compte principal à accéder aux ressources. Accordez uniquement à un compte principal les autorisations nécessaires pour interagir avec les API, fonctionnalités ou ressources Google Cloud applicables.

Pour créer un dossier Assured Workloads, vous devez disposer de l'un des rôles répertoriés ci-dessous comme bénéficiant de ce privilège, ainsi que d'un rôle de contrôle des accès Cloud Billing. Vous devez également disposer d'un compte de facturation actif et valide. Pour en savoir plus, consultez la page Présentation du contrôle des accès à Cloud Billing.

Rôles requis

Vous trouverez ci-dessous les rôles Assured Workloads minimum requis. Pour découvrir comment accorder, modifier ou révoquer des accès à des ressources à l'aide des rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Administrateur Assured Workloads (roles/assuredworkloads.admin) : permet de créer et de supprimer des dossiers Assured Workloads.
Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer) : permet d'afficher toutes les ressources appartenant à une organisation.

Rôles Assured Workloads

Vous trouverez ci-dessous les rôles IAM associés à Assured Workloads et découvrirez comment les attribuer à l'aide du Google Cloud CLI. Pour savoir comment attribuer ces rôles dans la consoleGoogle Cloud ou par programmation, consultez la section Accorder, modifier et révoquer les accès à des ressources dans la documentation IAM.

Remplacez l'espace réservé ORGANIZATION_ID par l'identifiant réel de l'organisation et example@customer.org par l'adresse e-mail de l'utilisateur. Pour récupérer votre ID d'organisation, consultez la section Récupérer votre ID d'organisation.

`roles/assuredworkloads.admin`

Pour créer et supprimer des dossiers Assured Workloads Permet un accès en lecture/écriture.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permet un accès en lecture/écriture.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Pour obtenir et répertorier les dossiers Assured Workloads. Autorise l'accès en lecture seule.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Rôles personnalisés

Si vous souhaitez définir vos propres rôles et y associer plusieurs autorisations, utilisez des rôles personnalisés.

Bonnes pratiques IAM pour Assured Workloads

Sécuriser correctement les rôles IAM pour respecter le principe du moindre privilège est une bonne pratique de sécurité dans Google Cloud . Ce principe suit la règle selon laquelle les utilisateurs ne doivent avoir accès qu'aux produits, services et applications requis pour leur rôle. Actuellement, l'utilisation de services hors champ d'application par les utilisateurs n'est pas restreinte avec les projets Assured Workloads lors du déploiement de produits et de services en dehors d'un dossier Assured Workloads.

La liste des produits couverts par le package de contrôle permet de guider les administrateurs de sécurité lors de la création de rôles personnalisés qui limitent l'accès aux seuls produits dans le champ d'application pour les utilisateurs dans le dossier Assured Workloads. Les rôles personnalisés peuvent vous aider à établir et maintenir la conformité dans un dossier Assured Workloads.