Configurer des stratégies IAM
Cette page explique comment configurer des stratégies IAM (Identity and Access Management) qui permettent aux membres de créer et de gérer des ressources Certificate Authority Service. Pour en savoir plus, sur IAM, consultez la page Présentation d'IAM.
Stratégies IAM générales
Dans CA Service, vous accordez des rôles IAM aux utilisateurs des comptes de service pour créer et gérer des ressources CA Service. Toi peuvent ajouter ces liaisons de rôle aux niveaux suivants:
- Le niveau du pool d'autorités de certification permet de gérer l'accès pour un pool d'autorités de certification spécifique et pour les autorités de certification de ce pool.
- Au niveau du projet ou de l'organisation, vous pouvez accorder l'accès à tous les pools d'autorités de certification de ce champ d'application.
Les rôles sont hérités s'ils sont attribués à un niveau de ressource supérieur. Par exemple, un utilisateur auquel le rôle d'auditeur (roles/privateca.auditor
) est attribué au niveau du projet peut afficher toutes les ressources du projet. les stratégies IAM qui
sont définis sur un pool d'autorités de certification sont hérités par toutes les autorités de certification de ce pool.
Impossible d'accorder des rôles IAM sur les certificats et les ressources d'autorité de certification.
Stratégies IAM conditionnelles
Si vous disposez d'un pool d'autorités de certification partagé pouvant être utilisé par plusieurs utilisateurs autorisé à demander différents types de certificats, vous pouvez définir des conditions IAM pour appliquer un accès basé sur des attributs certaines opérations sur un pool d'autorités de certification.
Les liaisons de rôles conditionnelles IAM vous permettent d'accorder l'accès aux comptes principaux
uniquement si les conditions spécifiées sont remplies. Par exemple, si le
Demandeur de certificat
est lié à l'utilisateur alice@example.com
sur un pool d'autorités de certification avec la condition que
les SAN DNS demandés
sont un sous-ensemble de ['alice@example.com', 'bob@example.com']
,
alors cet utilisateur ne peut demander des certificats du même pool d'autorités de certification que si
le SAN demandé est l’une
de ces deux valeurs autorisées. Vous pouvez définir des conditions sur IAM
à l'aide d'expressions CEL (Common Expression Language). Ces conditions peuvent
vous aident à restreindre davantage les types de certificats
qu’un utilisateur peut demander. Pour
sur l'utilisation d'expressions CEL pour les conditions IAM, consultez
Dialecte CEL (Common Expression Language) pour les stratégies IAM.
Avant de commencer
- Activez l'API.
- Créez un CA et un pool d'autorités de certification en suivant les instructions de l'un des guides de démarrage rapide.
- Découvrez IAM. sont disponibles pour Certificate Authority Service.
Configurer des liaisons de stratégie IAM au niveau du projet
Les scénarios suivants décrivent comment accorder aux utilisateurs l'accès à Certificate Authority Service les ressources au niveau du projet.
Gérer les ressources
Un administrateur du service CA (roles/privateca.admin
) dispose des autorisations nécessaires pour :
gérer toutes les ressources du service CA et définir des stratégies IAM
sur les pools d'autorités de certification et les modèles de certificat.
Pour attribuer le rôle Administrateur du service CA (roles/privateca.admin
) à un
au niveau du projet, suivez les instructions ci-dessous:
Console
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez le projet.
Cliquez sur
Accorder l'accès.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur du service CA.
Cliquez sur Enregistrer.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.admin
Remplacez les éléments suivants :
- PROJECT_ID: identifiant unique du projet.
- MEMBER: utilisateur ou compte de service auquel vous vous souhaitez attribuer le rôle d'administrateur du service CA.
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Créer des ressources
Un gestionnaire des opérations du service CA (roles/privateca.caManager
) peut créer,
mettre à jour et supprimer des pools d'autorités de certification et des autorités de certification. Ce rôle permet aussi à l'appelant de révoquer
de certificats émis par les autorités
de certification dans le pool d'autorités de certification.
Pour attribuer le rôle "Gestionnaire des opérations du service d'autorité de certification" (roles/privateca.caManager
) à un utilisateur au niveau du projet, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez le projet.
Cliquez sur
Accorder l'accès.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Gestionnaire des opérations de service d'autorité de certification.
Cliquez sur Enregistrer.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.caManager
Remplacez les éléments suivants :
- PROJECT_ID: identifiant unique du projet.
- MEMBER: utilisateur ou compte de service pour lequel vous souhaitez ajouter le rôle IAM
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Pour en savoir plus sur la commande gcloud projects add-iam-policy-binding
, consultez la page gcloud projects add-iam-policy-binding.
Si vous le souhaitez, la création d'une autorité de certification à l'aide d'une clé Cloud KMS existante nécessite également l'appelant en tant qu'administrateur de la clé Cloud KMS.
L'administrateur Cloud KMS (roles/cloudkms.admin
) dispose d'un accès complet à l'ensemble
Ressources Cloud KMS, à l'exception des opérations de chiffrement et de déchiffrement. Pour
plus d'informations sur les rôles IAM pour Cloud KMS, consultez
Cloud KMS: autorisations et rôles
Pour attribuer le rôle Administrateur Cloud KMS (roles/cloudkms.admin
) à un utilisateur, utilisez
procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Cloud Key Management Service.
Sous Trousseaux de clés, cliquez sur le trousseau contenant la clé de signature d'une autorité de certification.
Cliquez sur la clé qui est la clé de signature de l'autorité de certification.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur
Ajouter un compte principal.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionnez un rôle, choisissez le rôle Administrateur Cloud KMS.
Cliquez sur Enregistrer.
gcloud
gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEYRING --location=LOCATION \
--member=MEMBER \
--role=roles/cloudkms.admin
Remplacez les éléments suivants :
- KEY: identifiant unique de la clé.
- KEYRING : trousseau de clés contenant la clé. Pour Pour en savoir plus sur les trousseaux, consultez la section Trousseaux de clés.
- MEMBER: utilisateur ou compte de service pour lequel vous et souhaitez ajouter la liaison IAM.
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Pour en savoir plus sur la commande gcloud kms keys add-iam-policy-binding
,
consultez la section gcloud kms keys add-iam-policy-binding.
Ressources d'audit
Un auditeur du service CA (roles/privateca.auditor
) dispose d'un accès en lecture aux éléments suivants :
toutes les ressources du
CA Service. Lorsqu'elle est accordée pour un pool d'autorités de certification spécifique, elle
accorde un accès en lecture
au pool d'autorités de certification. Si le pool d'autorités de certification est de niveau Entreprise,
utilisateur disposant de ce rôle peut également afficher les certificats et les LRC émis par les autorités de certification dans
d'autorités de certification. Attribuez ce rôle aux personnes chargées de la validation
la sécurité et les opérations du pool d'autorités de certification.
Pour attribuer le rôle "Auditeur de services d'autorité de certification" (roles/privateca.auditor
) à un utilisateur au niveau du projet, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez le projet.
Cliquez sur
Accorder l'accès.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Auditeur du service CA.
Cliquez sur Enregistrer.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.auditor
Remplacez les éléments suivants :
- PROJECT_ID : identifiant unique du projet.
- MEMBER: identifiant unique de l'utilisateur
vous souhaitez attribuer l'auditeur du service CA
(
roles/privateca.auditor
).
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Configurer des liaisons de stratégie IAM au niveau de la ressource
Cette section explique comment configurer des liaisons de stratégie IAM pour une ressource particulière du service CA.
Gérer des pools d'autorités de certification
Vous pouvez accorder le rôle Administrateur du service CA (roles/privateca.admin
) à l'adresse
niveau ressource pour gérer un pool d'autorités de certification ou un modèle de certificat spécifique.
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur
Ajouter un compte principal.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur du service CA.
Cliquez sur Enregistrer. Le compte principal se voit attribuer le rôle sélectionné sur la ressource de pool d'autorités de certification.
gcloud
Pour définir la stratégie IAM, exécutez la commande suivante :
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.admin
Remplacez les éléments suivants :
- POOL_ID: identifiant unique du pool d'autorités de certification pour pour lequel vous voulez définir la stratégie IAM.
- LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
- MEMBER : utilisateur ou compte de service auquel vous souhaitez attribuer le rôle IAM.
L'indicateur --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding
,
voir gcloud privateca pools add-iam-policy-binding.
Suivez la même procédure pour attribuer le rôle Administrateur de services d'autorité de certification à un modèle de certificat.
Vous pouvez également accorder au gestionnaire des opérations du service CA (roles/privateca.caManager
)
sur un pool d'autorités de certification spécifique. Ce rôle permet à l'appelant de révoquer les certificats émis par les autorités de certification dans ce pool d'autorités de certification.
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur
Ajouter un compte principal.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Responsable des opérations du service CA.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource de pool d'autorités de certification à laquelle appartient l'autorité de certification.
gcloud
Pour accorder le rôle à un pool d'autorités de certification spécifique, exécutez la commande gcloud
suivante:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.caManager
Remplacez les éléments suivants :
- POOL_ID: identifiant unique du pool d'autorités de certification.
- LOCATION: emplacement du pool d'autorités de certification. Pour le la liste complète des emplacements, consultez la section Emplacements.
- MEMBER: identifiant unique de l'utilisateur
vous souhaitez attribuer le rôle Responsable des opérations du service CA (
roles/privateca.caManager
).
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding
, consultez la page gcloud privateca pools add-iam-policy-binding.
Créer des certificats
Accorder le rôle Gestionnaire de certificats du service CA (roles/privateca.certificateManager
)
aux utilisateurs pour leur permettre d’envoyer des demandes
d’émission de certificats à un pool d’autorités de certification. Ce rôle donne également un accès en lecture aux ressources du service CA. Pour autoriser uniquement la création de certificats
sans accès en lecture, accordez au demandeur de certificat du service CA (roles/privateca.certificateRequester
)
rôle de ressource. Pour en savoir plus sur les rôles IAM pour le service CA, consultez la page
Contrôle des accès avec IAM
Pour autoriser l'utilisateur à créer des certificats pour une autorité de certification spécifique, suivez les instructions ci-dessous.
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Cliquez sur Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur
Ajouter un compte principal.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Dans la liste Sélectionnez un rôle, sélectionnez le rôle Gestionnaire de certificats du service CA.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource de pool d'autorités de certification à laquelle appartient l'autorité de certification.
gcloud
gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
--location LOCATION \
--member MEMBER \
--role roles/privateca.certificateManager
Remplacez les éléments suivants :
- POOL_ID: identifiant unique du pool d'autorités de certification.
- LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
- MEMBER: identifiant unique de l'utilisateur
vous souhaitez attribuer le gestionnaire
de certificats du service CA
(
roles/privateca.certificateManager
).
L'option --role
utilise le rôle IAM que vous souhaitez attribuer au membre.
Ajouter des liaisons de stratégie IAM à un modèle de certificat
Pour ajouter une stratégie IAM à un modèle de certificat spécifique, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Cliquez sur l'onglet Gestionnaire de modèles, puis sélectionnez le modèle de certificat pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Ensuite, cliquez sur Autorisations.
Cliquez sur
Ajouter un compte principal.Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou une autre identifiant.
Sélectionnez un rôle à attribuer dans la liste déroulante Sélectionnez un rôle.
Cliquez sur Enregistrer.
gcloud
gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Remplacez les éléments suivants :
- LOCATION: emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
- MEMBER: utilisateur ou compte de service pour lequel vous vous pouvez ajouter la liaison de stratégie IAM.
- ROLE: rôle que vous souhaitez accorder au membre.
Pour en savoir plus sur la commande gcloud privateca templates add-iam-policy-binding
, consultez la section gcloud privatecatemplates add-iam-policy-binding.
Pour en savoir plus sur la modification du rôle IAM d'un utilisateur, consultez la page Accorder l'accès.
Supprimer des liaisons de stratégie IAM
Vous pouvez supprimer une liaison de stratégie IAM existante à l'aide de la commande remove-iam-policy-binding
de la Google Cloud CLI.
Pour supprimer une stratégie IAM appliquée à un pool d'autorités de certification spécifique, utilisez la commande gcloud
suivante:
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Remplacez les éléments suivants :
- LOCATION : emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
- MEMBER: utilisateur ou compte de service pour lequel vous supprimer la liaison de stratégie IAM.
- ROLE : rôle que vous souhaitez supprimer pour le membre.
Pour en savoir plus sur la commande gcloud privateca pools remove-iam-policy-binding
, consultez gcloud privateca pools remove-iam-policy-binding.
Pour supprimer une stratégie IAM appliquée à un modèle de certificat particulier, utilisez la commande gcloud
suivante:
gcloud
gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Remplacez les éléments suivants :
- LOCATION: emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
- MEMBER: utilisateur ou compte de service pour lequel vous supprimer la liaison de stratégie IAM.
- ROLE: rôle que vous souhaitez supprimer pour le membre.
Pour en savoir plus sur la commande gcloud privateca templates remove-iam-policy-binding
, consultez gcloud privateca templates remove-iam-policy-binding.
Pour en savoir plus sur la suppression du rôle IAM d'un utilisateur, consultez Révocation des droits d'accès.
Étape suivante
- Examinez les rôles IAM pour le service CA et les autorisations associées.
- En savoir plus sur les modèles et les règles d'émission
- Découvrez comment gérer les contrôles des règles.