Cette page a été traduite par l'API Cloud Translation.

Configurer des stratégies IAM

Cette page explique comment configurer des stratégies IAM (Identity and Access Management) permettant aux membres de créer et de gérer des ressources Certificate Authority Service. Pour plus d'informations sur IAM, consultez la page Présentation d'IAM.

Stratégies IAM générales

Dans CA Service, vous accordez des rôles IAM aux utilisateurs des comptes de service pour créer et gérer des ressources CA Service. Toi peuvent ajouter ces liaisons de rôle aux niveaux suivants:

Le niveau du pool d'autorités de certification permet de gérer l'accès pour un pool d'autorités de certification spécifique et pour les autorités de certification de ce pool.
Au niveau du projet ou de l'organisation, vous pouvez accorder l'accès à tous les pools d'autorités de certification de ce champ d'application.

Les rôles sont hérités s'ils sont attribués à un niveau de ressource supérieur. Par exemple, un utilisateur qui dispose du rôle Auditeur (roles/privateca.auditor) au niveau du projet peut consulter toutes les ressources du projet. les stratégies IAM qui sont définis sur un pool d'autorités de certification sont hérités par toutes les autorités de certification de ce pool.

Impossible d'accorder des rôles IAM sur les certificats et les ressources d'autorité de certification.

Stratégies IAM conditionnelles

Si vous disposez d'un pool d'autorités de certification partagé pouvant être utilisé par plusieurs utilisateurs autorisé à demander différents types de certificats, vous pouvez définir des conditions IAM pour appliquer un accès basé sur des attributs certaines opérations sur un pool d'autorités de certification.

Les liaisons de rôles conditionnelles IAM vous permettent d'accorder l'accès aux comptes principaux uniquement si les conditions spécifiées sont remplies. Par exemple, si le Demandeur de certificat est lié à l'utilisateur alice@example.com sur un pool d'autorités de certification avec la condition que les SAN DNS demandés sont un sous-ensemble de ['alice@example.com', 'bob@example.com'], alors cet utilisateur ne peut demander des certificats du même pool d'autorités de certification que si le SAN demandé est l’une de ces deux valeurs autorisées. Vous pouvez définir des conditions sur IAM à l'aide d'expressions CEL (Common Expression Language). Ces conditions peuvent vous aident à restreindre davantage les types de certificats qu’un utilisateur peut demander. Pour sur l'utilisation d'expressions CEL pour les conditions IAM, consultez Dialecte CEL (Common Expression Language) pour les stratégies IAM.

Avant de commencer

Activez l'API.
Créez un CA et un pool d'autorités de certification en suivant les instructions de l'un des guides de démarrage rapide.
Découvrez IAM. sont disponibles pour Certificate Authority Service.

Configurer des liaisons de stratégie IAM au niveau du projet

Les scénarios suivants décrivent comment accorder aux utilisateurs l'accès à Certificate Authority Service les ressources au niveau du projet.

Gérer les ressources

Un administrateur du service CA (roles/privateca.admin) dispose des autorisations nécessaires pour : gérer toutes les ressources du service CA et définir des stratégies IAM sur les pools d'autorités de certification et les modèles de certificat.

Pour attribuer le rôle Administrateur du service CA (roles/privateca.admin) à un au niveau du projet, suivez les instructions ci-dessous:

Console

Dans la console Google Cloud, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur du service CA.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Remplacez les éléments suivants :

PROJECT_ID: identifiant unique du projet.
MEMBER: utilisateur ou compte de service auquel vous vous souhaitez attribuer le rôle d'administrateur du service CA.

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Créer des ressources

Un gestionnaire des opérations du service CA (roles/privateca.caManager) peut créer, mettre à jour et supprimer des pools d'autorités de certification et des autorités de certification. Ce rôle permet aussi à l'appelant de révoquer de certificats émis par les autorités de certification dans le pool d'autorités de certification.

Pour attribuer le gestionnaire d'opérations du service CA (roles/privateca.caManager) à un utilisateur au niveau du projet, procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez CA Service Operation Manager. rôle de ressource.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Remplacez les éléments suivants :

PROJECT_ID: identifiant unique du projet.
MEMBER: utilisateur ou compte de service pour lequel vous souhaitez ajouter le rôle IAM

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud projects add-iam-policy-binding, consultez la page gcloud projects add-iam-policy-binding.

Si vous le souhaitez, la création d'une autorité de certification à l'aide d'une clé Cloud KMS existante nécessite également l'appelant en tant qu'administrateur de la clé Cloud KMS.

L'administrateur Cloud KMS (roles/cloudkms.admin) dispose d'un accès complet à l'ensemble Ressources Cloud KMS, à l'exception des opérations de chiffrement et de déchiffrement. Pour plus d'informations sur les rôles IAM pour Cloud KMS, consultez Cloud KMS: autorisations et rôles

Pour attribuer le rôle Administrateur Cloud KMS (roles/cloudkms.admin) à un utilisateur, utilisez procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page Cloud Key Management Service.

Accéder à Cloud Key Management Service
Sous Trousseaux de clés, cliquez sur le trousseau contenant la clé de signature d'une autorité de certification.
Cliquez sur la clé qui correspond à la clé de signature de l'autorité de certification.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionnez un rôle, choisissez le rôle Administrateur Cloud KMS.
Cliquez sur Enregistrer.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Remplacez les éléments suivants :

KEY: identifiant unique de la clé.
KEYRING: trousseau de clés contenant la clé Pour Pour en savoir plus sur les trousseaux, consultez la section Trousseaux de clés.
MEMBER: utilisateur ou compte de service pour lequel vous et souhaitez ajouter la liaison IAM.

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud kms keys add-iam-policy-binding, consultez la section gcloud kms keys add-iam-policy-binding.

Audit des ressources

Un auditeur du service CA (roles/privateca.auditor) dispose d'un accès en lecture aux éléments suivants : toutes les ressources du CA Service. Lorsqu'elle est accordée pour un pool d'autorités de certification spécifique, elle accorde un accès en lecture au pool d'autorités de certification. Si le pool d'autorités de certification est de niveau Entreprise, utilisateur disposant de ce rôle peut également afficher les certificats et les LRC émis par les autorités de certification dans d'autorités de certification. Attribuez ce rôle aux personnes chargées de la validation la sécurité et les opérations du pool d'autorités de certification.

Pour attribuer l'auditeur du service CA (roles/privateca.auditor) à un utilisateur au niveau du projet, procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Auditeur du service CA.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Remplacez les éléments suivants :

PROJECT_ID: identifiant unique du projet.
MEMBER: identifiant unique de l'utilisateur vous souhaitez attribuer l'auditeur du service CA (roles/privateca.auditor).

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Configurer des liaisons de stratégie IAM au niveau des ressources

Cette section explique comment configurer des liaisons de stratégie IAM pour une ressource particulière du service CA.

Gérer des pools d'autorités de certification

Vous pouvez accorder le rôle Administrateur du service CA (roles/privateca.admin) à l'adresse niveau ressource pour gérer un pool d'autorités de certification ou un modèle de certificat spécifique.

Console

Dans la console Google Cloud, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur du service CA.
Cliquez sur Enregistrer. Le compte principal se voit attribuer le rôle sélectionné sur la ressource de pool d'autorités de certification.

gcloud

Pour définir la stratégie IAM, exécutez la commande suivante:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Remplacez les éléments suivants :

POOL_ID: identifiant unique du pool d'autorités de certification pour pour lequel vous voulez définir la stratégie IAM.
LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
MEMBER: utilisateur ou compte de service auquel vous si vous souhaitez attribuer le rôle IAM.

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding, voir gcloud privateca pools add-iam-policy-binding.

Suivez la même procédure pour attribuer le rôle Administrateur du service CA modèle de certificat.

Vous pouvez également accorder au gestionnaire des opérations du service CA (roles/privateca.caManager) sur un pool d'autorités de certification spécifique. Ce rôle permet à l'appelant de révoquer les certificats émis par les autorités de certification dans ce pool d'autorités de certification.

Console

Dans la console Google Cloud, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Responsable des opérations du service CA.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource de pool d'autorités de certification à laquelle appartient l'autorité de certification.

gcloud

Pour accorder le rôle à un pool d'autorités de certification spécifique, exécutez la commande gcloud suivante:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Remplacez les éléments suivants :

POOL_ID: identifiant unique du pool d'autorités de certification.
LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
MEMBER: identifiant unique de l'utilisateur vous souhaitez attribuer le rôle Responsable des opérations du service CA (roles/privateca.caManager).

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding, consultez la page gcloud privateca pools add-iam-policy-binding.

Créer des certificats

Accorder le rôle Gestionnaire de certificats du service CA (roles/privateca.certificateManager) aux utilisateurs pour leur permettre d’envoyer des demandes d’émission de certificats à un pool d’autorités de certification. Ce rôle permet aussi donne un accès en lecture aux ressources du service CA. Pour autoriser uniquement la création de certificats sans accès en lecture, accordez au demandeur de certificat du service CA (roles/privateca.certificateRequester) rôle de ressource. Pour en savoir plus sur les rôles IAM pour le service CA, consultez la page Contrôle des accès avec IAM

Pour autoriser l'utilisateur à créer des certificats pour une autorité de certification spécifique, suivez les instructions ci-dessous.

Console

Dans la console Google Cloud, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionnez un rôle, sélectionnez le rôle Gestionnaire de certificats du service CA.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource de pool d'autorités de certification à laquelle appartient l'autorité de certification.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Remplacez les éléments suivants :

POOL_ID: identifiant unique du pool d'autorités de certification.
LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
MEMBER: identifiant unique de l'utilisateur vous souhaitez attribuer le gestionnaire de certificats du service CA (roles/privateca.certificateManager).

L'option --role utilise le rôle IAM que vous souhaitez attribuer au membre.

Ajouter des liaisons de stratégie IAM à un modèle de certificat

Pour ajouter une stratégie IAM à un modèle de certificat particulier, procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de modèles, puis sélectionnez le modèle de certificat. auxquelles vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Sélectionnez un rôle à attribuer dans la liste déroulante Sélectionnez un rôle.
Cliquez sur Enregistrer.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION: emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez Emplacements.
MEMBER: utilisateur ou compte de service pour lequel vous vous pouvez ajouter la liaison de stratégie IAM.
ROLE: rôle que vous souhaitez accorder au membre.

Pour en savoir plus sur la commande gcloud privateca templates add-iam-policy-binding, consultez la page gcloud privatecatemplates add-iam-policy-binding.

Pour en savoir plus sur la modification du rôle IAM d'un utilisateur, consultez la page Accorder l'accès.

Supprimer des liaisons de stratégie IAM

Vous pouvez supprimer une liaison de stratégie IAM existante à l'aide de la commande remove-iam-policy-binding de la Google Cloud CLI.

Pour supprimer une stratégie IAM appliquée à un pool d'autorités de certification spécifique, utilisez la commande gcloud suivante:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
MEMBER: utilisateur ou compte de service pour lequel vous supprimer la liaison de stratégie IAM.
ROLE: rôle que vous souhaitez supprimer pour le membre.

Pour plus d'informations sur la commande gcloud privateca pools remove-iam-policy-binding, consultez la page gcloud privateca pools remove-iam-policy-binding.

Pour supprimer une stratégie IAM appliquée à un modèle de certificat particulier, utilisez la commande gcloud suivante:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION: emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez Emplacements.
MEMBER: utilisateur ou compte de service pour lequel vous supprimer la liaison de stratégie IAM.
ROLE: rôle que vous souhaitez supprimer pour le membre.

Pour en savoir plus sur la commande gcloud privateca templates remove-iam-policy-binding, voir gcloud privatecatemplates remove-iam-policy-binding.

Pour en savoir plus sur la suppression du rôle IAM d'un utilisateur, consultez Révocation des droits d'accès.

Étape suivante

Examinez les rôles IAM pour le service CA et les autorisations associées.
En savoir plus sur les modèles et les règles d'émission
Découvrez comment gérer les contrôles des règles.