Configurer IAM pour la solution Bare Metal

Lorsque vous souhaitez qu'un compte principal ait accès aux ressources de l'environnement de votre solution Bare Metal, vous devez attribuer les rôles et les autorisations appropriés aux comptes utilisateur et aux comptes de service. Comme pour les autres composants de Google Cloud, vous pouvez créer une stratégie Identity and Access Management (IAM) et attribuer des rôles prédéfinis spécifiques à la solution Bare Metal.

Vous accordez les rôles aux comptes principaux associés à votre projet Google Cloud. Accordez des rôles disposant d'autorisations suffisantes pour que vos comptes principaux puissent effectuer leur tâche, mais pas plus, afin de pouvoir suivre le principe de sécurité Google Cloud du moindre privilège.

Rôles prédéfinis pour la solution Bare Metal

Chaque rôle IAM pour la solution Bare Metal contient des autorisations qui accordent au compte principal l'accès à des ressources spécifiques, comme indiqué dans le tableau suivant.

Nom de rôle Path (Chemin d'accès) Description
Administrateur de solution Bare Metal roles/baremetalsolution.admin
(Le rôle de base Propriétaire dispose également de ces autorisations)
Contrôle complet de toutes les ressources de solution Bare Metal actuelles et futures.
Éditeur de solution Bare Metal roles/baremetalsolution.editor
(Le rôle de base Éditeur dispose également de ces autorisations)
Autorisations de lecture seule sur toutes les ressources de solution Bare Metal actuelles et futures.
Lecteur de solution Bare Metal roles/baremetalsolution.viewer
(Le rôle de base Lecteur dispose également de ces autorisations)
Droits de consultation sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture seule.
Rôle d'administrateur d'instances de solution Bare Metal roles/baremetalsolution.instancesadmin Administrateur de serveurs de solution Bare Metal. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet pour ces instances.
Lecteur d'instances de solution Bare Metal roles/baremetalsolution.instancesviewer Lecteur de serveurs de solution Bare Metal. Ce rôle reçoit des autorisations de lecture seule au niveau du projet pour ces instances.

Nous vous recommandons d'appliquer les rôles indiqués ci-dessus comme suit :

  • Remplir un formulaire de participation

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur d'instances
    • Rôles de base : administrateur ou éditeur
  • Redémarrer un serveur de solution Bare Metal

    • Rôles de solution Bare Metal : Administrateur ou Éditeur
    • Rôles de base : administrateur ou éditeur
  • Répertorier les serveurs ou en interroger l'état

    • Rôles de solution Bare Metal : lecteur ou lecteur d'instances
    • Rôle de base : lecteur

Accorder un rôle IAM

Ajoutez une stratégie IAM (Identity and Access Management) afin d'attribuer un rôle de solution Bare Metal à un compte principal (compte de service ou utilisateur de projet Cloud). Le rôle contient des autorisations qui permettent au compte principal d'effectuer certaines actions. Pour attribuer un rôle, procédez comme suit :

  1. Assurez-vous de disposer d'un rôle disposant des autorisations IAM appropriées pour attribuer des rôles à d'autres entités (Propriétaire, Administrateur de projet IAM ou Administrateur de sécurité, par exemple). Pour en savoir plus sur ce prérequis, consultez la section Autorisations requises.
  2. Ouvrez une fenêtre Cloud Shell dans votre projet Cloud.
  3. Ajoutez l'ID de votre projet Cloud, l'adresse e-mail du compte Google Cloud de votre entité principale et le chemin d'accès au rôle Bare Metal souhaité dans la commande suivante :

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. Copiez et collez la commande dans la fenêtre Cloud Shell.

  5. Appuyez sur la touche Entrée ou Retour.

  6. Dans certains cas, une fenêtre Autorisez Cloud Shell s'affiche, vous demandant d'autoriser un appel d'API. Dans ce cas, cliquez sur Autoriser.

  7. Le résultat doit ressembler à ceci si vous avez correctement saisi les commandes :

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

Pour en savoir plus sur IAM, consultez la page Identity and Access Management (gestion de l'authentification et des accès).