Contrôle des accès

Par défaut, tous les projets Google Cloud Console sont configurés avec un seul utilisateur : le créateur du projet d'origine. Personne d'autre n'a accès au projet (et donc aux ressources Google Cloud) avant qu'un autre utilisateur n'ait été ajouté comme membre de l'équipe du projet. Cette page décrit les différentes façons d'ajouter de nouveaux utilisateurs à votre projet.

Elle explique également la façon dont Deployment Manager s'authentifie sur les autres API Google Cloud en votre nom pour créer des ressources.

Avant de commencer

Contrôle des accès pour les utilisateurs

Pour permettre à vos utilisateurs d'accéder à votre projet et de créer des configurations et des déploiements, ajoutez-les en tant que membres de l'équipe du projet et accordez-leur les rôles IAM appropriés.

Pour découvrir comment ajouter des membres à l'équipe, veuillez consulter la documentation propre à l'ajout de membres à l'équipe.

Rôles Deployment Manager

Rôle Titre Description Autorisations Ressource la plus basse
roles/deploymentmanager.editor Éditeur Deployment Manager Fournit les autorisations nécessaires pour créer et gérer des déploiements.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projet
roles/deploymentmanager.typeEditor Éditeur de type de Deployment Manager Fournit un accès en lecture et en écriture à toutes les ressources du registre de types.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projet
roles/deploymentmanager.typeViewer Lecteur de type de Deployment Manager Fournit un accès en lecture seule à toutes les ressources du registre de types.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projet
roles/deploymentmanager.viewer Lecteur Deployment Manager Fournit un accès en lecture seule à toutes les ressources associées à Deployment Manager.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projet

Contrôle des accès pour Deployment Manager

Pour créer d'autres ressources Google Cloud, Deployment Manager s'authentifie auprès d'autres API à l'aide des identifiants du compte de service des API Google. Ce compte est spécialement conçu pour exécuter des processus Google internes en votre nom. Il peut être identifié à l'aide de l'adresse e-mail :

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Le compte de service des API Google est automatiquement autorisé à modifier le projet. Il est répertorié dans la section IAM de Google Cloud Console. Le compte de service existe indéfiniment avec le projet et n'est supprimé que lorsque ce dernier est supprimé. Étant donné que Deployment Manager et d'autres services tels que les groupes d'instances gérés s'appuient sur ce compte de service pour créer, supprimer et gérer des ressources, il est déconseillé de modifier les autorisations de ce compte.

Étape suivante