Contrôle des accès avec IAM
Cette page décrit les rôles IAM de Certificate Authority Service.
CA Service utilise des rôles IAM (Identity and Access Management) pour le contrôle des accès. Avec IAM, vous contrôlez l'accès en définissant qui (identité) dispose de quel accès (rôle) pour chaque ressource. Les rôles IAM contiennent un ensemble d'autorisations qui permet aux utilisateurs d'effectuer des actions spécifiques sur les ressources Google Cloud. En suivant le principe du moindre privilège lorsque vous attribuez des rôles IAM, vous pouvez protéger l'intégrité des ressources Certificate Authority Service, et gérer la sécurité du pool d'autorités de certification et de l'infrastructure de clés publiques (PKI) elle-même.
Pour savoir comment attribuer des rôles IAM à un compte utilisateur ou de service, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation IAM.
Rôles prédéfinis
Le tableau suivant répertorie les rôles IAM prédéfinis et les autorisations associées à chacun d'eux:
| Rôle | Autorisations | Description |
|---|---|---|
Auditeur du service CAroles/privateca.auditor |
privateca.caPools.getprivateca.caPools.getIamPolicyprivateca.caPools.listprivateca.certificateAuthorities.listprivateca.certificateAuthorities.getprivateca.certificateTemplates.getprivateca.certificateTemplates.getIamPolicyprivateca.certificateTemplates.listprivateca.certificates.listprivateca.certificates.getprivateca.locations.getprivateca.locations.listprivateca.operations.getprivateca.operations.listprivateca.certificateRevocationLists.listprivateca.certificateRevocationLists.getprivateca.certificateRevocationLists.getIamPolicyresourcemanager.projects.getresourcemanager.projects.list
|
Le rôle Auditeur du service CA dispose d'un accès en lecture seule à toutes les ressources du service CA, et peut récupérer et répertorier les propriétés du pool d'autorités de certification, des autorités de certification, des certificats, des listes de révocation, des stratégies IAM et des projets. Nous vous recommandons d'attribuer ce rôle aux personnes chargées de valider la sécurité et les opérations du pool d'autorités de certification, et qui ne sont pas chargées de l'administration du service au quotidien. |
Demandeur de certificat du service CAroles/privateca.certificateRequester |
privateca.certificates.create
|
Un rôle de demandeur de certificat de service CA peut envoyer des demandes de certificat à un pool d'autorités de certification. Nous vous recommandons d'accorder ce rôle aux personnes de confiance autorisées à demander des certificats. Un utilisateur doté de ce rôle peut demander des certificats arbitraires soumis à la stratégie d'émission. Contrairement au rôle "Gestionnaire de certificats du service d'autorités de certification", ce rôle ne permet pas à l'utilisateur d'obtenir ou de répertorier le nouveau certificat, ni d'obtenir des informations sur le pool d'autorités de certification. |
Demandeur de certificat de charge de travail du service CAroles/privateca.workloadCertificateRequester |
privateca.certificates.createForSelf
|
Un demandeur de certificat de charge de travail du service CA peut demander des certificats au service CA avec l'identité de l'appelant. |
Gestionnaire de certificats du service CAroles/privateca.certificateManager |
Toutes les autorisations de roles/privateca.auditor, plus:privateca.certificates.create
|
Un gestionnaire de certificats du service CA peut envoyer des demandes d'émission de certificats à un pool d'autorités de certification, tel que le demandeur de certificats du service CA. De plus, ce rôle hérite également des autorisations du rôle Auditeur du service d'autorité de certification. Nous vous recommandons d'attribuer ce rôle aux personnes chargées de créer, de suivre et d'examiner les demandes de certificat pour un pool d'autorités de certification, comme un responsable ou un ingénieur principal. |
Utilisateur du modèle de certificat du service CAroles/privateca.templateUser |
privateca.certificateTemplates.getprivateca.certificateTemplates.listprivateca.certificateTemplates.use
|
Un utilisateur du modèle de certificat du service CA peut lire, lister et utiliser les modèles de certificat. |
Responsable des opérations du service CAroles/privateca.caManager |
Toutes les autorisations de roles/privateca.auditor, plus:privateca.certificates.updateprivateca.caPools.createprivateca.caPools.deleteprivateca.caPools.updateprivateca.certificateAuthorities.createprivateca.certificateAuthorities.deleteprivateca.certificateAuthorities.updateprivateca.certificateRevocationLists.updateprivateca.certificateTemplates.createprivateca.certificateTemplates.deleteprivateca.certificateTemplates.updateprivateca.certificates.updateprivateca.operations.cancelprivateca.operations.deleteresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.create
|
Ce gestionnaire peut créer, mettre à jour et supprimer des pools d'autorités de certification et des autorités de certification. Ce rôle permet également de révoquer des certificats et de créer des buckets Cloud Storage. Il inclut également les mêmes capacités que l'auditeur du service CA. Ce rôle consiste à configurer et déployer des pools d'autorités de certification au sein de l'organisation, ainsi qu'à configurer la stratégie d'émission du pool d'autorités de certification. Ce rôle ne permet pas de créer des certificats. Pour ce faire, utilisez les rôles Demandeur de certificat du service CA, Gestionnaire de certificats du service CA ou Administrateur du service CA. |
Administrateur du service CAroles/privateca.admin |
Toutes les autorisations de roles/privateca.certificateManager et roles/privateca.caManager, plus:privateca.*.setIamPolicyprivateca.caPools.useprivateca.operations.cancelprivateca.operations.deleteprivateca.resourcemanager.projects.getprivateca.resourcemanager.projects.liststorage.buckets.create
|
Le rôle "Administrateur du service CA" hérite des autorisations des rôles "Gestionnaire des opérations du service CA" et "Gestionnaire des certificats CA Service". Ce rôle permet d'effectuer toutes les actions dans Certificate Authority Service. Un administrateur du service d'autorité de certification peut définir des stratégies IAM pour le pool d'autorités de certification et créer des buckets Cloud Storage. Une fois le service établi, nous vous recommandons d'attribuer ce rôle rarement. Ce rôle permet aux utilisateurs de réaliser tous les aspects de l'administration, y compris l'attribution de droits à d'autres personnes et la gestion des demandes de certificat dans Certificate Authority Service. Nous vous recommandons d'implémenter un contrôle et un accès spéciaux pour ce compte de rôle afin d'empêcher tout accès ou toute utilisation non autorisés. |
Rôle d'agent de service de service CA
Lorsque vous fournissez des clés de signature Cloud KMS ou des buckets Cloud Storage existants lors de la création de l'autorité de certification, le compte de service de l'agent de service de l'autorité de certification (service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com) doit être autorisé à accéder à la ressource correspondante.
Pour Cloud KMS, roles/cloudkms.signerVerifier est requis afin d'utiliser la clé de signature et de lire la clé publique. roles/viewer est requis pour surveiller la clé pour l'intégration à Cloud Monitoring.
Pour Cloud Storage, roles/storage.objectAdmin est requis pour écrire le certificat CA et les LRC dans un bucket. roles/storage.legacyBucketReader est nécessaire pour surveiller le bucket en vue de l'intégration à Cloud Monitoring. Pour en savoir plus, consultez la page Rôles IAM pour Cloud Storage.
Lorsque vous accédez au service via l'API, exécutez les commandes suivantes.
Créez un compte de service avec le rôle "Agent de service".
gcloud
gcloud beta services identity create --service=privateca.googleapis.com --project=PROJECT_IDOù :
- PROJECT_ID est l'identifiant unique du projet dans lequel le pool d'autorités de certification est créé.
Attribuez les rôles
roles/cloudkms.signerVerifieretroles/viewerà votre compte de service à l'aide de la commandegcloudsuivante.Si des clés de signature Cloud KMS existantes sont fournies:
gcloud
gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \ --keyring='KEYRING_NAME' \ --location='LOCATION' \ --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \ --role='roles/cloudkms.signerVerifier'Où :
- "CRYPTOKEY_NAME" est le nom de votre clé.
- "KEYRING_NAME" est le nom de votre trousseau de clés ;
- "LOCATION" est l'emplacement Cloud KMS dans lequel vous avez créé votre trousseau de clés.
- "PROJECT_NUMBER" est le nom de votre compte de service.
gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \ --keyring='KEYRING_NAME' \ --location='LOCATION' \ --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \ --role='roles/viewer'Si des buckets Cloud Storage existants sont fournis, utilisez l'outil de ligne de commande
gsutilpour lier les rôles requis pour le bucket Cloud Storage.gsutil
gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.objectAdmin gs://BUCKET_NAMEOù :
- PROJECT_NUMBER est l'identifiant unique de votre compte de service.
- BUCKET_NAME est le nom du bucket Cloud Storage.
gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.legacyBucketReader gs://BUCKET_NAME
Autorisations des API
Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode dans l'API CA Service:
| Autorisation | Description |
|---|---|
privateca.caPools.create |
Créez un pool d'autorités de certification. |
privateca.caPools.update |
Mettre à jour un pool d'autorités de certification |
privateca.caPools.list |
Répertorier les pools d'autorités de certification d'un projet |
privateca.caPools.get |
Récupérez un pool d'autorités de certification. |
privateca.caPools.delete |
Supprimez un pool d'autorités de certification. |
privateca.caPools.getIamPolicy |
Récupérez la stratégie IAM du pool d'autorités de certification. |
privateca.caPools.setIamPolicy |
Définissez une stratégie IAM pour le pool d'autorités de certification. |
privateca.certificateAuthorities.create |
Créez une autorité de certification. |
privateca.certificateAuthorities.delete |
Planifiez la suppression d'une autorité de certification. |
privateca.certificateAuthorities.get |
Obtenez une requête de signature de certificat CA ou CA. |
privateca.certificateAuthorities.list |
Répertorier les autorités de certification d'un projet |
privateca.certificateAuthorities.update |
Mettre à jour une autorité de certification, y compris son activation, son activation, sa désactivation et sa restauration. |
privateca.certificates.create |
Permet de demander des certificats au service CA. |
privateca.certificates.createForSelf |
Demander des certificats au service CA avec l'identité de l'appelant |
privateca.certificates.get |
Obtenir un certificat et ses métadonnées |
privateca.certificates.list |
Répertorier tous les certificats d'une autorité de certification |
privateca.certificates.update |
Mettre à jour les métadonnées d'un certificat, y compris sa révocation. |
privateca.certificateRevocationLists.get |
Permet d'obtenir une liste de révocation de certificats (LRC) auprès d'une autorité de certification. |
privateca.certificateRevocationLists.getIamPolicy |
Obtenez la stratégie IAM d'une liste de révocation de certificats. |
privateca.certificateRevocationLists.list |
Répertorier toutes les LRC d'une autorité de certification |
privateca.certificateRevocationLists.setIamPolicy |
Définissez la stratégie IAM d'une liste de révocation de certificats. |
privateca.certificateRevocationLists.update |
Mettez à jour une LRC. |
privateca.certificateTemplates.create |
Créez un modèle de certificat. |
privateca.certificateTemplates.get |
Récupérez un modèle de certificat. |
privateca.certificateTemplates.list |
Répertorier tous les modèles de certificat |
privateca.certificateTemplates.update |
Mettre à jour un modèle de certificat |
privateca.certificateTemplates.delete |
Supprimez un modèle de certificat. |
privateca.certificateTemplates.getIamPolicy |
Obtenir une stratégie IAM pour un modèle de certificat |
privateca.certificateTemplates.setIamPolicy |
Définir une stratégie IAM pour un modèle de certificat |
privateca.certificateTemplates.use |
Utilisez un modèle de certificat. |
privateca.operations.cancel |
Annule une opération de longue durée. |
privateca.operations.delete |
Supprime une opération de longue durée. |
privateca.operations.get |
Obtenez une opération de longue durée. |
privateca.operations.list |
Répertorier les opérations de longue durée dans un projet |
Étapes suivantes
- Découvrez comment IAM centralise la gestion des autorisations et des niveaux d'accès pour les ressources Google Cloud.
- Apprenez à configurer des stratégies IAM.