Rôles et autorisations

Cette page répertorie les autorisations requises par le gestionnaire de certificats et les rôles Identity and Access Management qui les encapsulent.

Autorisations

Cette section liste les autorisations requises pour effectuer des opérations spécifiques dans le gestionnaire de certificats.

Opération et méthode Ressource Autorisation
Créer un certificat

certificates.create
Certificats certificatemanager.certs.create sur le projet Google Cloud cible. Si vous utilisez une autorisation DNS, nécessite également certificatemanager.dnsauthorizations.use sur chaque autorisation DNS associée.
Répertorier les certificats

certificates.list
Certificats certificatemanager.certs.list sur le projet Google Cloud cible
Récupérer un certificat

certificates.get
Certificats certificatemanager.certs.get sur le certificat cible
Mettre à jour un certificat

certificates.patch
Certificats certificatemanager.certs.update sur le certificat cible
Associer un certificat à une ressource Certificats certificatemanager.certs.use sur le certificat cible
Supprimer un certificat

certificates.delete
Certificats certificatemanager.certs.delete sur le certificat cible
Créer un mappage de certificats

certificateMaps.create
Mappages de certificats certificatemanager.certmaps.create sur le projet Google Cloud cible
Répertorier les mappages de certificats

certificateMaps.list
Mappages de certificats certificatemanager.certmaps.list sur le projet Google Cloud cible
Récupérer un mappage de certificats

certificateMaps.get
Mappages de certificats certificatemanager.certmaps.get sur le mappage de certificats cible
Mettre à jour un mappage de certificats

certificateMaps.patch
Mappages de certificats certificatemanager.certmaps.update sur le mappage de certificats cible
Associer un mappage de certificats à une ressource Mappages de certificats certificatemanager.certmaps.use sur le mappage de certificats cible
Supprimer un mappage de certificats

certificateMaps.delete
Mappages de certificats certificatemanager.certmaps.delete sur le mappage de certificats cible
Créer une entrée de mappage de certificats

certificateMaps.certificateMapEntries.create
Entrées de mappage de certificats certificatemanager.certmapentries.create sur le mappage de certificats cibles et certificatemanager.certs.use sur chaque certificat associé.
Répertorier les entrées de mappage de certificats

certificateMaps.certificateMapEntries.list
Entrées de mappage de certificats certificatemanager.certmapentries.list sur le mappage de certificats cible
Récupérer une entrée de mappage de certificats

certificateMaps.certificateMapEntries.get
Entrées de mappage de certificats certificatemanager.certmapentries.get sur l'entrée de mappage de certificats cible
Mettre à jour une entrée de mappage de certificats

certificateMaps.certificateMapEntries.patch
Entrées de mappage de certificats certificatemanager.certmapentries.update sur l'entrée de mappage de certificats cibles et certificatemanager.certs.use sur chaque certificat associé.
Supprimer une entrée de mappage de certificats

certificateMaps.certificateMapEntries.delete
Entrées de mappage de certificats certificatemanager.certmapentries.delete sur l'entrée de mappage de certificats cible
Créer une autorisation DNS

dnsAuthorizations.create
Autorisations DNS certificatemanager.dnsauthorizations.create sur le projet Google Cloud cible
Répertorier les autorisations DNS

dnsAuthorizations.list
Autorisations DNS certificatemanager.dnsauthorizations.list sur le projet Google Cloud cible
Récupérer une autorisation DNS

dnsAuthorizations.get
Autorisations DNS certificatemanager.dnsauthorizations.get sur l'autorisation DNS cible
Mettre à jour une autorisation DNS

dnsAuthorizations.patch
Autorisations DNS certificatemanager.dnsauthorizations.update sur l'autorisation DNS cible
Supprimer une autorisation DNS

dnsAuthorizations.delete
Autorisations DNS certificatemanager.dnsauthorizations.delete sur l'autorisation DNS cible
Créer une configuration d'émission de certificats

certificateIssuanceConfigs.create
Configurations d'émission de certificats certificatemanager.certissuanceconfigs.create sur le projet Google Cloud cible
Répertorier les configurations d'émission de certificats

certificateIssuanceConfigs.list
Configurations d'émission de certificats certificatemanager.certissuanceconfigs.list sur le projet Google Cloud cible
Récupérer une configuration d'émission de certificat

certificateIssuanceConfigs.get
Configurations d'émission de certificats certificatemanager.certissuanceconfigs.get sur la configuration d'émission du certificat cible
Supprimer une configuration d'émission de certificat

certificateIssuanceConfigs.delete
Configurations d'émission de certificats certificatemanager.certissuanceconfigs.delete sur la configuration d'émission du certificat cible
Créer une configuration de confiance

trustConfigs.create
Configurations de confiance certificatemanager.trustconfigs.create sur le projet Google Cloud cible
Répertorier les configurations de confiance

trustConfigs.list
Configurations de confiance certificatemanager.trustconfigs.list sur le projet Google Cloud cible
Mettre à jour une configuration de confiance

trustConfigs.patch
Configurations de confiance certificatemanager.trustconfigs.update sur la configuration de l'approbation cible
Obtenir l'état d'une configuration de confiance

trustConfigs.get
Configurations de confiance certificatemanager.trustconfigs.get sur la configuration de l'approbation cible
Associer une configuration de confiance à une ressource Configurations de confiance certificatemanager.trustconfigs.use sur la configuration de l'approbation cible
Supprimer une configuration de confiance

trustConfigs.delete
Configurations de confiance certificatemanager.trustconfigs.delete sur la configuration de l'approbation cible
Créer une clé de compte externe

externalAccountKeys.create
Clés de compte externe publicca.externalAccountKeys.create sur le projet Google Cloud cible

Rôles

Cette section liste les rôles IAM qui encapsulent les autorisations du gestionnaire de certificats.

Rôles de gestionnaire de certificats pour les projets Google Cloud

Le tableau suivant répertorie les rôles du projet Google Cloud et les autorisations du gestionnaire de certificats qu'ils encapsulent.

Role Permissions

(roles/certificatemanager.editor)

Edit access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.create

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.update

certificatemanager.certissuanceconfigs.use

certificatemanager.certmapentries.create

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.update

certificatemanager.certmaps.create

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.update

certificatemanager.certmaps.use

certificatemanager.certs.create

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.update

certificatemanager.certs.use

certificatemanager.dnsauthorizations.create

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.update

certificatemanager.dnsauthorizations.use

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.create

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.update

certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.owner)

Full access to Certificate Manager all resources.

certificatemanager.*

  • certificatemanager.certissuanceconfigs.create
  • certificatemanager.certissuanceconfigs.delete
  • certificatemanager.certissuanceconfigs.get
  • certificatemanager.certissuanceconfigs.list
  • certificatemanager.certissuanceconfigs.update
  • certificatemanager.certissuanceconfigs.use
  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.delete
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.delete
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.delete
  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.delete
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.get
  • certificatemanager.locations.list
  • certificatemanager.operations.cancel
  • certificatemanager.operations.delete
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • certificatemanager.trustconfigs.create
  • certificatemanager.trustconfigs.delete
  • certificatemanager.trustconfigs.get
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.update
  • certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.viewer)

Read-only access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

resourcemanager.projects.get

resourcemanager.projects.list

Rôles Public CA pour les projets Google Cloud

Les rôles suivants et les autorisations qu'ils encapsulent sont spécifiquement requis pour les opérations Public CA:

Rôle Autorisations
Créateur de clé de compte externe d'autorité de certification publique
(roles/publicca.externalAccountKeyCreator)

Permet de créer un accès aux ressources de compte de clé externe des Public CA.

resourcemanager.projects.get
resourcemanager.projects.list
publicca.externalAccountKeys.create

Rôles personnalisés

Google Cloud vous permet également de créer des rôles personnalisés qui encapsulent les autorisations spécifiques aux besoins de votre entreprise, comme le principe du moindre privilège. Pour obtenir des instructions, consultez la page Créer et gérer les rôles personnalisés.

Étapes suivantes