Cette page répertorie les autorisations requises par le gestionnaire de certificats et les rôles Identity and Access Management qui les encapsulent.
Autorisations
Cette section liste les autorisations requises pour effectuer des opérations spécifiques dans le gestionnaire de certificats.
| Opération et méthode | Ressource | Autorisation |
|---|---|---|
Créer un certificatcertificates.create |
Certificats | certificatemanager.certs.create sur le projet Google Cloud cible.
Si vous utilisez une autorisation DNS, nécessite également certificatemanager.dnsauthorizations.use sur chaque autorisation DNS associée. |
Répertorier les certificatscertificates.list |
Certificats | certificatemanager.certs.list sur le projet Google Cloud cible |
Récupérer un certificatcertificates.get |
Certificats | certificatemanager.certs.get sur le certificat cible |
Mettre à jour un certificatcertificates.patch |
Certificats | certificatemanager.certs.update sur le certificat cible |
| Associer un certificat à une ressource | Certificats | certificatemanager.certs.use sur le certificat cible |
Supprimer un certificatcertificates.delete |
Certificats | certificatemanager.certs.delete sur le certificat cible |
Créer un mappage de certificatscertificateMaps.create |
Mappages de certificats | certificatemanager.certmaps.create sur le projet Google Cloud cible |
Répertorier les mappages de certificatscertificateMaps.list |
Mappages de certificats | certificatemanager.certmaps.list sur le projet Google Cloud cible |
Récupérer un mappage de certificatscertificateMaps.get |
Mappages de certificats | certificatemanager.certmaps.get sur le mappage de certificats cible |
Mettre à jour un mappage de certificatscertificateMaps.patch |
Mappages de certificats | certificatemanager.certmaps.update sur le mappage de certificats cible |
| Associer un mappage de certificats à une ressource | Mappages de certificats | certificatemanager.certmaps.use sur le mappage de certificats cible |
Supprimer un mappage de certificatscertificateMaps.delete |
Mappages de certificats | certificatemanager.certmaps.delete sur le mappage de certificats cible |
Créer une entrée de mappage de certificatscertificateMaps.certificateMapEntries.create |
Entrées de mappage de certificats | certificatemanager.certmapentries.create sur le mappage de certificats cibles et certificatemanager.certs.use sur chaque certificat associé. |
Répertorier les entrées de mappage de certificatscertificateMaps.certificateMapEntries.list |
Entrées de mappage de certificats | certificatemanager.certmapentries.list sur le mappage de certificats cible |
Récupérer une entrée de mappage de certificatscertificateMaps.certificateMapEntries.get |
Entrées de mappage de certificats | certificatemanager.certmapentries.get sur l'entrée de mappage de certificats cible |
Mettre à jour une entrée de mappage de certificatscertificateMaps.certificateMapEntries.patch |
Entrées de mappage de certificats | certificatemanager.certmapentries.update sur l'entrée de mappage de certificats cibles et certificatemanager.certs.use sur chaque certificat associé. |
Supprimer une entrée de mappage de certificatscertificateMaps.certificateMapEntries.delete |
Entrées de mappage de certificats | certificatemanager.certmapentries.delete sur l'entrée de mappage de certificats cible |
Créer une autorisation DNSdnsAuthorizations.create |
Autorisations DNS | certificatemanager.dnsauthorizations.create sur le projet Google Cloud cible |
Répertorier les autorisations DNSdnsAuthorizations.list |
Autorisations DNS | certificatemanager.dnsauthorizations.list sur le projet Google Cloud cible |
Récupérer une autorisation DNSdnsAuthorizations.get |
Autorisations DNS | certificatemanager.dnsauthorizations.get sur l'autorisation DNS cible |
Mettre à jour une autorisation DNSdnsAuthorizations.patch |
Autorisations DNS | certificatemanager.dnsauthorizations.update sur l'autorisation DNS cible |
Supprimer une autorisation DNSdnsAuthorizations.delete |
Autorisations DNS | certificatemanager.dnsauthorizations.delete sur l'autorisation DNS cible |
Créer une configuration d'émission de certificatscertificateIssuanceConfigs.create |
Configurations d'émission de certificats | certificatemanager.certissuanceconfigs.create sur le projet Google Cloud cible |
Répertorier les configurations d'émission de certificatscertificateIssuanceConfigs.list |
Configurations d'émission de certificats | certificatemanager.certissuanceconfigs.list sur le projet Google Cloud cible |
Récupérer une configuration d'émission de certificatcertificateIssuanceConfigs.get |
Configurations d'émission de certificats | certificatemanager.certissuanceconfigs.get sur la configuration d'émission du certificat cible |
Supprimer une configuration d'émission de certificatcertificateIssuanceConfigs.delete |
Configurations d'émission de certificats | certificatemanager.certissuanceconfigs.delete sur la configuration d'émission du certificat cible |
Créer une configuration de confiancetrustConfigs.create |
Configurations de confiance | certificatemanager.trustconfigs.create sur le projet Google Cloud cible |
Répertorier les configurations de confiancetrustConfigs.list |
Configurations de confiance | certificatemanager.trustconfigs.list sur le projet Google Cloud cible |
Mettre à jour une configuration de confiancetrustConfigs.patch |
Configurations de confiance | certificatemanager.trustconfigs.update sur la configuration de l'approbation cible |
Obtenir l'état d'une configuration de confiancetrustConfigs.get |
Configurations de confiance | certificatemanager.trustconfigs.get sur la configuration de l'approbation cible |
| Associer une configuration de confiance à une ressource | Configurations de confiance | certificatemanager.trustconfigs.use sur la configuration de l'approbation cible |
Supprimer une configuration de confiancetrustConfigs.delete |
Configurations de confiance | certificatemanager.trustconfigs.delete sur la configuration de l'approbation cible |
Créer une clé de compte externeexternalAccountKeys.create |
Clés de compte externe | publicca.externalAccountKeys.create sur le projet Google Cloud cible |
Rôles
Cette section liste les rôles IAM qui encapsulent les autorisations du gestionnaire de certificats.
Rôles de gestionnaire de certificats pour les projets Google Cloud
Le tableau suivant répertorie les rôles du projet Google Cloud et les autorisations du gestionnaire de certificats qu'ils encapsulent.
| Role | Permissions |
|---|---|
Certificate Manager Editor( Edit access to Certificate Manager all resources. |
|
Certificate Manager Owner( Full access to Certificate Manager all resources. |
|
Certificate Manager Viewer( Read-only access to Certificate Manager all resources. |
|
Rôles Public CA pour les projets Google Cloud
Les rôles suivants et les autorisations qu'ils encapsulent sont spécifiquement requis pour les opérations Public CA:
| Rôle | Autorisations |
|---|---|
| Créateur de clé de compte externe d'autorité de certification publique ( roles/publicca.externalAccountKeyCreator)
Permet de créer un accès aux ressources de compte de clé externe des Public CA. |
resourcemanager.projects.get resourcemanager.projects.list publicca.externalAccountKeys.create |
Rôles personnalisés
Google Cloud vous permet également de créer des rôles personnalisés qui encapsulent les autorisations spécifiques aux besoins de votre entreprise, comme le principe du moindre privilège. Pour obtenir des instructions, consultez la page Créer et gérer les rôles personnalisés.
Étapes suivantes
- Migrer un certificat vers le gestionnaire de certificats
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS