Configurer IAM pour la solution Bare Metal

Lorsque vous souhaitez qu'un compte principal ait accès aux ressources de l'environnement de votre solution Bare Metal, vous devez attribuer les rôles et les autorisations appropriés aux comptes utilisateur et aux comptes de service. Comme pour les autres composants de Google Cloud, vous pouvez créer une stratégie Identity and Access Management (IAM) et attribuer des rôles prédéfinis spécifiques à la solution Bare Metal.

Vous accordez les rôles aux comptes principaux associés à votre projet Google Cloud. Accordez des rôles disposant d'autorisations suffisantes pour que vos comptes principaux puissent effectuer leur tâche, mais pas plus, afin de pouvoir suivre le principe de sécurité Google Cloud du moindre privilège.

Rôles prédéfinis pour la solution Bare Metal

Chaque rôle IAM pour la solution Bare Metal contient des autorisations qui accordent au compte principal l'accès à des ressources spécifiques, comme indiqué dans le tableau suivant.

Nom de rôle Path (Chemin d'accès) Description
Administrateur de solution Bare Metal roles/baremetalsolution.admin
(Le rôle de base Propriétaire dispose également de ces autorisations)
Contrôle complet de toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet.
Éditeur de solution Bare Metal roles/baremetalsolution.editor
(Le rôle de base Éditeur dispose également de ces autorisations)
Autorisations de lecture seule sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet.
Lecteur de solution Bare Metal roles/baremetalsolution.viewer
(Le rôle de base Lecteur dispose également de ces autorisations)
Droits de consultation sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations en lecture seule au niveau du projet.
Administrateur d'instances de solution Bare Metal roles/baremetalsolution.instancesadmin Administrateur de serveurs de solution Bare Metal.
Éditeur d'instances de la solution Bare Metal roles/baremetalsolution.instanceseditor Éditeur de serveurs de la solution Bare Metal. Ce rôle reçoit des autorisations pour surveiller et gérer les serveurs.
Lecteur d'instances de solution Bare Metal roles/baremetalsolution.instancesviewer Lecteur de serveurs de solution Bare Metal. Ce rôle reçoit des autorisations de lecture seule pour afficher les serveurs.
Administrateur de l'espace de stockage de la solution Bare Metal roles/baremetalsolution.storageadmin Administrateur de ressources de stockage de solution Bare Metal, y compris des volumes, des LUN, des instantanés et des règles de programmation d'instantanés.
Éditeur de ressources de stockage de la solution Bare Metal roles/baremetalsolution.storageeditor Éditeur de ressources de stockage de la solution Bare Metal, y compris des volumes, des LUN, des instantanés et des règles de programmation d'instantanés. Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer le stockage.
Lecteur de ressources de stockage de la solution Bare Metal roles/baremetalsolution.storageviewer Lecteur de ressources de stockage de solution Bare Metal, y compris des volumes, des LUN, des instantanés et des règles de programmation d'instantanés. Ce rôle reçoit des autorisations en lecture seule pour afficher l'espace de stockage.
Administrateur de réseaux de solution Bare Metal roles/baremetalsolution.networksadmin Administrateur des ressources de mise en réseau de solution Bare Metal
Éditeur de réseaux de la solution Bare Metal roles/baremetalsolution.networkseditor Éditeur des ressources de mise en réseau de la solution Bare Metal Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer les réseaux.
Lecteur de réseaux de la solution Bare Metal roles/baremetalsolution.networksviewer Lecteur de ressources de mise en réseau de la solution Bare Metal Ce rôle reçoit des autorisations en lecture seule pour afficher les réseaux.
Administrateur de partages NFS de solution Bare Metal roles/baremetalsolution.nfssharesadmin Administrateur de ressources NFS de solution Bare Metal
Éditeur de partages NFS de solution Bare Metal roles/baremetalsolution.nfsshareseditor Éditeur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations pour surveiller et gérer le stockage de fichiers NFS.
Lecteur de partages NFS de solution Bare Metal roles/baremetalsolution.nfssharesviewer Lecteur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations en lecture seule pour afficher le stockage de fichiers NFS.

Nous vous recommandons d'appliquer les rôles indiqués ci-dessus comme suit :

  • Remplir un formulaire de participation

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur d'instances ET lecteur de réseau Compute
    • Rôles de base : administrateur ou éditeur
  • Redémarrer un serveur de solution Bare Metal

    • Rôles de solution Bare Metal : Administrateur ou Éditeur
    • Rôles de base : administrateur ou éditeur
  • Répertorier les serveurs ou en interroger l'état

    • Rôles de solution Bare Metal : lecteur ou lecteur d'instances
    • Rôle de base : lecteur
  • Gérer les composants de stockage

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur de stockage
    • Rôles de base : administrateur ou éditeur
  • Gérer les composants de mise en réseau

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur réseau
    • Rôles de base : administrateur ou éditeur

Accorder un rôle IAM

Ajoutez une stratégie IAM (Identity and Access Management) afin d'attribuer un rôle de solution Bare Metal à un compte principal (compte de service ou utilisateur de projet Cloud). Le rôle contient des autorisations qui permettent au compte principal d'effectuer certaines actions. Pour attribuer un rôle, procédez comme suit :

  1. Assurez-vous de disposer d'un rôle disposant des autorisations IAM appropriées pour attribuer des rôles à d'autres entités (Propriétaire, Administrateur de projet IAM ou Administrateur de sécurité, par exemple). Pour en savoir plus sur ce prérequis, consultez la section Autorisations requises.
  2. Ouvrez une fenêtre Cloud Shell dans votre projet Cloud.
  3. Ajoutez l'ID de votre projet Cloud, l'adresse e-mail du compte Google Cloud de votre entité principale et le chemin d'accès au rôle Bare Metal souhaité dans la commande suivante :

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. Copiez et collez la commande dans la fenêtre Cloud Shell.

  5. Appuyez sur la touche Entrée ou Retour.

  6. Dans certains cas, une fenêtre Autorisez Cloud Shell s'affiche, vous demandant d'autoriser un appel d'API. Dans ce cas, cliquez sur Autoriser.

  7. Le résultat doit ressembler à ceci si vous avez correctement saisi les commandes :

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

Pour en savoir plus sur IAM, consultez la page Identity and Access Management (gestion de l'authentification et des accès).