Configurer IAM pour la solution Bare Metal

Lorsque vous souhaitez qu'un compte principal, tel qu'un utilisateur de projet Google Cloud ou un compte de service, puisse accéder aux ressources de votre environnement de solution Bare Metal, vous devez lui attribuer les rôles et autorisations appropriés. Pour accorder l'accès, vous pouvez créer une stratégie IAM (Identity and Access Management) et attribuer des rôles prédéfinis spécifiques à la solution Bare Metal.

Accordez des rôles disposant d'autorisations suffisantes pour que vos comptes principaux puissent effectuer leur tâche, mais pas plus, afin de pouvoir suivre le principe de sécurité Google Cloud du moindre privilège.

Rôles prédéfinis pour la solution Bare Metal

Chaque rôle IAM pour la solution Bare Metal contient des autorisations qui donnent au compte principal l'accès à des ressources spécifiques, comme indiqué dans le tableau suivant.

Nom de rôle Path (Chemin d'accès) Description
Administrateur de solution Bare Metal roles/baremetalsolution.admin
(Le rôle de base Propriétaire dispose également de ces autorisations.)		 Contrôle complet de toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet.
Éditeur de solution Bare Metal roles/baremetalsolution.editor
(Le rôle de base "Éditeur" dispose également de ces autorisations)		 Autorisations de lecture seule sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet.
Lecteur de solution Bare Metal roles/baremetalsolution.viewer
(Le rôle de base Lecteur dispose également de ces autorisations.)		 Droits de consultation sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations en lecture seule au niveau du projet.
Administrateur d'instances de solution Bare Metal roles/baremetalsolution.instancesadmin Administrateur de serveurs de solution Bare Metal.
Éditeur d'instances de la solution Bare Metal roles/baremetalsolution.instanceseditor Éditeur de serveurs de la solution Bare Metal Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer les serveurs.
Lecteur d'instances de solution Bare Metal roles/baremetalsolution.instancesviewer Lecteur de serveurs de solution Bare Metal. Ce rôle reçoit des autorisations en lecture seule pour afficher les serveurs.
Administrateur de l'espace de stockage de la solution Bare Metal roles/baremetalsolution.storageadmin Administrateur de ressources de stockage de solution Bare Metal, y compris des volumes, des LUN, des instantanés et des règles de programmation d'instantanés.
Éditeur de ressources de stockage de la solution Bare Metal roles/baremetalsolution.storageeditor Éditeur des ressources de stockage de la solution Bare Metal, y compris les volumes, les LUN, les instantanés et les règles de programmation d'instantanés. Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer l'espace de stockage.
Lecteur de ressources de stockage de la solution Bare Metal roles/baremetalsolution.storageviewer Lecteur des ressources de stockage de la solution Bare Metal, y compris les volumes, les LUN, les instantanés et les règles de programmation d'instantanés. Ce rôle reçoit des autorisations en lecture seule pour afficher l'espace de stockage.
Administrateur de réseaux de solution Bare Metal roles/baremetalsolution.networksadmin Administrateur des ressources de mise en réseau de solution Bare Metal
Éditeur de réseaux de la solution Bare Metal roles/baremetalsolution.networkseditor Éditeur des ressources réseau de la solution Bare Metal Ce rôle reçoit des autorisations pour surveiller et gérer les réseaux.
Lecteur de réseaux de la solution Bare Metal roles/baremetalsolution.networksviewer Lecteur des ressources réseau de la solution Bare Metal. Ce rôle reçoit des autorisations en lecture seule pour afficher les réseaux.
Administrateur de partages NFS de solution Bare Metal roles/baremetalsolution.nfssharesadmin Administrateur de ressources NFS de solution Bare Metal
Éditeur de partages NFS de solution Bare Metal roles/baremetalsolution.nfsshareseditor Éditeur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations pour surveiller et gérer le stockage de fichiers NFS.
Lecteur de partages NFS de solution Bare Metal roles/baremetalsolution.nfssharesviewer Lecteur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations en lecture seule pour afficher le stockage de fichiers NFS.

Nous vous recommandons d'appliquer les rôles indiqués ci-dessus comme suit :

  • Remplir un formulaire de participation

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur d'instances ET lecteur de réseau Compute
    • Rôles de base: propriétaire ou éditeur

  • Redémarrer un serveur de solution Bare Metal

    • Rôles de solution Bare Metal : Administrateur ou Éditeur
    • Rôles de base: propriétaire ou éditeur

  • Répertorier les serveurs ou en interroger l'état

    • Rôles de solution Bare Metal : lecteur ou lecteur d'instances
    • Rôle de base : lecteur

  • Gérer les composants de stockage

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur de stockage
    • Rôles de base: propriétaire ou éditeur

  • Gérer les composants de mise en réseau

    • Rôles de solution Bare Metal : administrateur, éditeur ou administrateur réseau
    • Rôles de base: propriétaire ou éditeur

Pour obtenir la liste complète des rôles de la solution Bare Metal, consultez la page Rôles prédéfinis et saisissez baremetalsolution. dans le champ de recherche.

Pour obtenir la liste complète des autorisations de la solution Bare Metal, consultez la section Rechercher une autorisation et saisissez baremetalsolution. dans le champ de recherche.

Accorder un rôle IAM

Ajoutez une stratégie IAM pour attribuer un rôle de solution Bare Metal à un compte principal. Le rôle contient des autorisations qui permettent au compte principal d'effectuer certaines actions. Pour attribuer un rôle :

Console

  1. Assurez-vous de disposer d'un rôle contenant les autorisations IAM appropriées pour attribuer des rôles à d'autres personnes, tels que Propriétaire, Administrateur IAM de projet ou Administrateur de sécurité. Pour en savoir plus sur cette exigence, consultez la section Rôles requis.

  2. Dans la console Google Cloud, accédez à la page des autorisations IAM.

    Accéder à IAM

  3. Cliquez sur Accorder l'accès.

  4. Saisissez les informations suivantes :

    • Dans le champ Ajouter des comptes principaux, saisissez le nom de vos utilisateurs. Vous pouvez ajouter des utilisateurs individuels, des groupes Google, des comptes de service ou des domaines Google Workspace.

    • Pour Attribuer des rôles, choisissez un rôle dans le menu Sélectionner un rôle pour accorder ce rôle aux comptes principaux.

    • Cliquez sur Ajouter un autre rôle si vous devez attribuer plusieurs rôles à vos comptes principaux.

    • Cliquez sur Enregistrer.

    Vos comptes principaux et les rôles qui leur sont attribués apparaissent sur la page d'état des autorisations IAM.

gcloud

  1. Assurez-vous de disposer d'un rôle contenant les autorisations IAM appropriées pour attribuer des rôles à d'autres personnes, tels que Propriétaire, Administrateur IAM de projet ou Administrateur de sécurité. Pour en savoir plus sur cette exigence, consultez la section Rôles requis.

  2. Ouvrez une fenêtre Cloud Shell dans votre projet Google Cloud.

  3. Ajoutez votre ID de projet Google Cloud, l'adresse e-mail du compte Google Cloud de votre compte principal et le chemin d'accès du rôle de solution Bare Metal souhaité dans la commande suivante:

    gcloud projects add-iam-policy-binding PROJECT_ID \
 --member=user:username@example.com \
 --role=roles/baremetalsolution.admin

  4. Copiez et collez la commande dans la fenêtre Cloud Shell.

  5. Appuyez sur la touche Entrée ou Retour.

  6. Dans certains cas, une fenêtre Autorisez Cloud Shell s'affiche, vous demandant d'autoriser un appel d'API. Dans ce cas, cliquez sur Autoriser.

  7. Le résultat doit ressembler à ceci si vous avez correctement saisi les commandes :

    Updated IAM policy for project [PROJECT_ID].
  bindings:
  - members:
   - user:username@example.com
   role: roles/baremetalsolution.admin
  - members:
   - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
   role: roles/compute.serviceAgent
  - members:
   - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
   - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
   role: roles/editor
  - members:
   - user:username@example.com
   role: roles/owner
  etag: ETAG_NUMBER
  version: 1

Pour en savoir plus sur IAM, consultez la page Identity and Access Management (gestion de l'authentification et des accès).