Configurer IAM pour la solution Bare Metal
Lorsque vous souhaitez qu'un compte principal, tel qu'un utilisateur de projet Google Cloud ou un compte de service, puisse accéder aux ressources de votre environnement de solution Bare Metal, vous devez lui attribuer les rôles et autorisations appropriés. Pour accorder l'accès, vous pouvez créer une stratégie IAM (Identity and Access Management) et attribuer des rôles prédéfinis spécifiques à la solution Bare Metal.
Accordez des rôles disposant d'autorisations suffisantes pour que vos comptes principaux puissent effectuer leur tâche, mais pas plus, afin de pouvoir suivre le principe de sécurité Google Cloud du moindre privilège.
Rôles prédéfinis pour la solution Bare Metal
Chaque rôle IAM pour la solution Bare Metal contient des autorisations qui donnent au compte principal l'accès à des ressources spécifiques, comme indiqué dans le tableau suivant.
Nom de rôle | Path (Chemin d'accès) | Description |
---|---|---|
Administrateur de solution Bare Metal | roles/baremetalsolution.admin (Le rôle de base Propriétaire dispose également de ces autorisations.) |
Contrôle complet de toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet. |
Éditeur de solution Bare Metal | roles/baremetalsolution.editor (Le rôle de base "Éditeur" dispose également de ces autorisations) |
Autorisations de lecture seule sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations de lecture et d'écriture au niveau du projet. |
Lecteur de solution Bare Metal | roles/baremetalsolution.viewer (Le rôle de base Lecteur dispose également de ces autorisations.) |
Droits de consultation sur toutes les ressources de solution Bare Metal actuelles et futures. Ce rôle reçoit des autorisations en lecture seule au niveau du projet. |
Administrateur d'instances de solution Bare Metal | roles/baremetalsolution.instancesadmin |
Administrateur de serveurs de solution Bare Metal. |
Éditeur d'instances de la solution Bare Metal | roles/baremetalsolution.instanceseditor |
Éditeur de serveurs de la solution Bare Metal Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer les serveurs. |
Lecteur d'instances de solution Bare Metal | roles/baremetalsolution.instancesviewer |
Lecteur de serveurs de solution Bare Metal. Ce rôle reçoit des autorisations en lecture seule pour afficher les serveurs. |
Administrateur de l'espace de stockage de la solution Bare Metal | roles/baremetalsolution.storageadmin |
Administrateur de ressources de stockage de solution Bare Metal, y compris des volumes, des LUN, des instantanés et des règles de programmation d'instantanés. |
Éditeur de ressources de stockage de la solution Bare Metal | roles/baremetalsolution.storageeditor |
Éditeur des ressources de stockage de la solution Bare Metal, y compris les volumes, les LUN, les instantanés et les règles de programmation d'instantanés. Ce rôle reçoit les autorisations nécessaires pour surveiller et gérer l'espace de stockage. |
Lecteur de ressources de stockage de la solution Bare Metal | roles/baremetalsolution.storageviewer |
Lecteur des ressources de stockage de la solution Bare Metal, y compris les volumes, les LUN, les instantanés et les règles de programmation d'instantanés. Ce rôle reçoit des autorisations en lecture seule pour afficher l'espace de stockage. |
Administrateur de réseaux de solution Bare Metal | roles/baremetalsolution.networksadmin |
Administrateur des ressources de mise en réseau de solution Bare Metal |
Éditeur de réseaux de la solution Bare Metal | roles/baremetalsolution.networkseditor |
Éditeur des ressources réseau de la solution Bare Metal Ce rôle reçoit des autorisations pour surveiller et gérer les réseaux. |
Lecteur de réseaux de la solution Bare Metal | roles/baremetalsolution.networksviewer |
Lecteur des ressources réseau de la solution Bare Metal. Ce rôle reçoit des autorisations en lecture seule pour afficher les réseaux. |
Administrateur de partages NFS de solution Bare Metal | roles/baremetalsolution.nfssharesadmin |
Administrateur de ressources NFS de solution Bare Metal |
Éditeur de partages NFS de solution Bare Metal | roles/baremetalsolution.nfsshareseditor |
Éditeur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations pour surveiller et gérer le stockage de fichiers NFS. |
Lecteur de partages NFS de solution Bare Metal | roles/baremetalsolution.nfssharesviewer |
Lecteur de ressources NFS de solution Bare Metal Ce rôle reçoit des autorisations en lecture seule pour afficher le stockage de fichiers NFS. |
Nous vous recommandons d'appliquer les rôles indiqués ci-dessus comme suit :
Remplir un formulaire de participation
- Rôles de solution Bare Metal : administrateur, éditeur ou administrateur d'instances ET lecteur de réseau Compute
- Rôles de base: propriétaire ou éditeur
Redémarrer un serveur de solution Bare Metal
- Rôles de solution Bare Metal : Administrateur ou Éditeur
- Rôles de base: propriétaire ou éditeur
Répertorier les serveurs ou en interroger l'état
- Rôles de solution Bare Metal : lecteur ou lecteur d'instances
- Rôle de base : lecteur
Gérer les composants de stockage
- Rôles de solution Bare Metal : administrateur, éditeur ou administrateur de stockage
- Rôles de base: propriétaire ou éditeur
Gérer les composants de mise en réseau
- Rôles de solution Bare Metal : administrateur, éditeur ou administrateur réseau
- Rôles de base: propriétaire ou éditeur
Pour obtenir la liste complète des rôles de la solution Bare Metal, consultez la page Rôles prédéfinis et saisissez baremetalsolution.
dans le champ de recherche.
Pour obtenir la liste complète des autorisations de la solution Bare Metal, consultez la section Rechercher une autorisation et saisissez baremetalsolution.
dans le champ de recherche.
Accorder un rôle IAM
Ajoutez une stratégie IAM pour attribuer un rôle de solution Bare Metal à un compte principal. Le rôle contient des autorisations qui permettent au compte principal d'effectuer certaines actions. Pour attribuer un rôle :
Console
Assurez-vous de disposer d'un rôle contenant les autorisations IAM appropriées pour attribuer des rôles à d'autres personnes, tels que Propriétaire, Administrateur IAM de projet ou Administrateur de sécurité. Pour en savoir plus sur cette exigence, consultez la section Rôles requis.
Dans la console Google Cloud, accédez à la page des autorisations IAM.
Cliquez sur Accorder l'accès.
Saisissez les informations suivantes :
Dans le champ Ajouter des comptes principaux, saisissez le nom de vos utilisateurs. Vous pouvez ajouter des utilisateurs individuels, des groupes Google, des comptes de service ou des domaines Google Workspace.
Pour Attribuer des rôles, choisissez un rôle dans le menu Sélectionner un rôle pour accorder ce rôle aux comptes principaux.
Cliquez sur
Ajouter un autre rôle si vous devez attribuer plusieurs rôles à vos comptes principaux.Cliquez sur Enregistrer.
Vos comptes principaux et les rôles qui leur sont attribués apparaissent sur la page d'état des autorisations IAM.
gcloud
Assurez-vous de disposer d'un rôle contenant les autorisations IAM appropriées pour attribuer des rôles à d'autres personnes, tels que Propriétaire, Administrateur IAM de projet ou Administrateur de sécurité. Pour en savoir plus sur cette exigence, consultez la section Rôles requis.
Ouvrez une fenêtre Cloud Shell dans votre projet Google Cloud.
Ajoutez votre ID de projet Google Cloud, l'adresse e-mail du compte Google Cloud de votre compte principal et le chemin d'accès du rôle de solution Bare Metal souhaité dans la commande suivante:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Copiez et collez la commande dans la fenêtre Cloud Shell.
Appuyez sur la touche Entrée ou Retour.
Dans certains cas, une fenêtre Autorisez Cloud Shell s'affiche, vous demandant d'autoriser un appel d'API. Dans ce cas, cliquez sur Autoriser.
Le résultat doit ressembler à ceci si vous avez correctement saisi les commandes :
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Pour en savoir plus sur IAM, consultez la page Identity and Access Management (gestion de l'authentification et des accès).