Contrôle des accès avec IAM

Cet article explique comment utiliser Identity and Access Management pour contrôler la manière dont Config Connector peut créer et gérer des ressources Google Cloud.

Pour installer Config Connector, vous devez vous authentifier en créant compte de service, puis utiliser la fédération d'identité de charge de travail pour GKE pour GKE lier les rôles IAM des comptes de service avec les comptes de service Kubernetes. IAM permet à Config Connector d'effectuer des actions sur des ressources spécifiques. En limitant les autorisations attribuées à vos comptes de service, vous contrôlez mieux les types de ressources que Config Connector peut créer.

Vous pouvez choisir de gérer les ressources avec un seul compte de service ou plusieurs.

Compte de service unique

Lorsque vous installez Config Connector avec le module complémentaire GKE ou le manuel vous pouvez définir le mode de cluster dans votre ConfigConnector CustomResource. En mode cluster, vous pouvez utiliser un seul compte de service IAM pour créer et gérer des ressources, même si vous utilisez Config Connector pour gérer plusieurs projets.

Le schéma suivant montre le fonctionnement de ce mode, où le même service gère deux projets:

Diagramme illustrant Config Connector gérant plusieurs projets à l'aide du même compte de service

Plusieurs comptes de service

Vous pouvez utiliser plusieurs comptes de service en définissant le mode espace de noms dans votre objet CustomResource ConfigConnector. Le mode espace de noms vous permet de diviser les autorisations en fonction des préoccupations respectives de différents comptes de service IAM et d'isoler les autorisations entre différents espaces de noms Kubernetes, car vous pouvez associer un compte de service différent pour chaque espace de noms.

Choisissez le mode espace de noms si :

  • Vous souhaitez isoler les autorisations IAM au niveau de l'espace de noms Kubernetes.
  • Attendez-vous à gérer un grand nombre de ressources Google Cloud plusieurs projets Google Cloud sur un seul cluster.

Par exemple, vous créez un compte de service IAM pour chaque d'un projet, d'organiser les ressources de chaque projet dans le même espace de noms Kubernetes, puis lier le compte de service IAM correspondant Espace de noms Kubernetes. Cela vous permet de séparer les autorisations IAM chaque projet afin que chacun dispose d'un ensemble d'autorisations distinct et non lié.

Le schéma suivant présente le fonctionnement du mode d'espace de noms, où chaque projet est géré par un compte de service différent:

Schéma illustrant la gestion de plusieurs projets par Config Connector à l'aide des deux autre service comptes

En mode d'espace de noms, chaque compte de service IAM est lié à par défaut. Lorsque vous créez des ressources dans cet espace de noms, Config Connector utilise ce compte de service pour créer Google Cloud ressources. Il existe un pod Config Connector cnrm-controller-manager dédié pour chaque espace de noms qui emprunte l'identité du compte de service IAM associé à l'espace de noms.

Pour savoir comment configurer le mode d'espace de noms, consultez la section Installer Config Connector à l'aide d'un mode d'espace de noms.

Ajuster les autorisations après l'installation

Lors de l'installation de Config Connector, vous avez peut-être sélectionné une configuration rôle de base et lui avons attribué le rôle compte de service que vous avez configuré Config Connector. Si vous avez configuré Config Connector en mode espace de noms, vous pouvez avoir plusieurs comptes de service IAM.

Une fois l'installation terminée, vous devrez peut-être supprimer ou mettre à jour les autorisations générales pour vous conformer aux considérations de sécurité et aux bonnes pratiques.

L'unification des outils est l'un des principaux avantages de Config Connector. Cela signifie que vous pouvez utiliser Config Connector pour ajuster les rôles IAM autorisations. Vous pouvez utiliser les ressources IAMPolicyMember ou IAMPartialPolicy dans Config Connector pour configurer les autorisations IAM. Ce nécessite un compte de service IAM disposant d'autorisations d'administrateur pour l'ensemble de vos projets, dossiers ou organisation. Ce compte de service doit être configuré pour s'associer à l'installation de Config Connector via le mode cluster ou le mode espace de noms.

Les sections suivantes présentent différents exemples de règles qui utilisent Config Connector pour gérer les autorisations IAM.

Autorisation de propriétaire de l'organisation

Pour étendre les autorisations de Config Connector afin qu'il puisse gérer tous les projets et dossiers d'une organisation donnée, procédez comme suit:

  1. Créez le fichier manifeste YAML suivant:

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Organization
   external: ORGANIZATION_ID

    Remplacez les éléments suivants :

    • NAMESPACE par le nom de votre espace de noms ;
    • SERVICE_ACCOUNT_NAME par le nom de votre compte de service
    • HOST_PROJECT_ID par l'ID du projet hôte de votre compte de service ;
    • roles/owner par le rôle approprié.
    • ORGANIZATION_ID par votre ID d'organisation

  2. Appliquez le fichier manifeste YAML à votre cluster à l'aide de kubectl ou de tout outil de gestion de la configuration de votre choix.

Autorisation de propriétaire du dossier

Pour étendre les autorisations Config Connector afin qu'il puisse gérer tous les projets et dossiers dans un dossier donné, procédez comme suit :

  1. Créez le fichier manifeste YAML suivant :

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Folder
   external: folders/FOLDER_ID

    Remplacez les éléments suivants :

    • NAMESPACE par le nom de votre espace de noms ;
    • SERVICE_ACCOUNT_NAME par le nom de votre compte de service
    • HOST_PROJECT_ID par l'ID du projet hôte de votre compte de service ;
    • roles/owner par le rôle approprié.
    • FOLDER_ID par l'ID de votre dossier

  2. Appliquez le fichier manifeste YAML à votre cluster à l'aide de kubectl ou de tout outil de gestion de la configuration de votre choix.

Autorisations de propriétaire de projet

Pour permettre à Config Connector de gérer les ressources d'un projet spécifique, procédez comme suit :

  1. Créez le fichier manifeste YAML suivant:

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
kind: IAMPolicyMember
metadata:
 name: iampolicymember-orglevel-permission
 namespace: NAMESPACE
spec:
 member: serviceAccount:SERVICE_ACCOUNT_NAME@HOST_PROJECT_ID.iam.gserviceaccount.com
 role: roles/owner
 resourceRef:
   kind: Project
   external: projects/PROJECT_ID

    Remplacez les éléments suivants :

    • NAMESPACE par le nom de votre espace de noms ;
    • SERVICE_ACCOUNT_NAME par le nom de votre compte de service
    • HOST_PROJECT_ID par l'ID du projet hôte de votre compte de service ;
    • roles/owner par le rôle approprié.
    • PROJECT_ID par l'ID de votre projet cible

  2. Appliquez le fichier manifeste YAML à votre cluster à l'aide de kubectl ou de tout outil de gestion de la configuration de votre choix.

Rôles prédéfinis

Si vous préférez accorder des autorisations plus limitées à Config Connector, vous pouvez attribuer un ou plusieurs rôles IAM à Config Connector l'installation en créant quelques IAMPolicyMember des ressources ou une combinaison IAMPartialPolicy ressource. Les rôles suivants sont généralement attribués à Config Connector compte de service:

  • Éditeur: attribuer le rôle editor (éditeur) autorise la plupart des fonctionnalités de Config Connector, à l'exception des fonctionnalités à l'échelle du projet ou de l'organisation de configuration, telles que les modifications IAM.

  • Rôle d'administrateur de compte de service IAM : l'octroi des autorisations roles/iam.serviceAccountAdmin permet à Config Connector de configurer les comptes de service IAM.

  • Resource Manager: accorder Rôle Resource Manager comme roles/resourcemanager.folderCreator, permet à Config Connector gérer des dossiers et pour les entreprises.

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos besoins, vous pouvez créer rôles personnalisés et autorisations que vous définissez.

Pour apprendre à créer et à attribuer des rôles personnalisés, consultez la page Créer et gérer des rôles personnalisés.

Étape suivante