Cette page explique comment créer et gérer des rôles personnalisés dans Google Distributed Cloud (GDC) air-gapped. Les rôles personnalisés vous permettent de gérer l'accès au-delà des ensembles d'autorisations standards disponibles dans les rôles prédéfinis. Vous pouvez ainsi configurer les autorisations en fonction de vos critères spécifiques.
Les rôles personnalisés suivent le principe du moindre privilège et sont utiles pour accorder le minimum d'accès requis pour les tâches sensibles, atténuer les risques de sécurité et éviter les conflits d'intérêts.
Créer un rôle personnalisé vous permet de :
- Définissez le champ d'application de l'accès : choisissez d'appliquer les autorisations à l'ensemble de votre organisation, à tous les projets ou de les limiter à des projets spécifiques.
- Personnaliser l'accès précis : sélectionnez une ou plusieurs autorisations déjà disponibles dans les rôles prédéfinis pour personnaliser l'accès à des tâches ou responsabilités spécifiques.
Pour en savoir plus, consultez les sections Descriptions des rôles prédéfinis et Définitions des rôles.
Avant de commencer
L'accès aux rôles personnalisés est géré au niveau de l'organisation et du projet. L'accès à un rôle personnalisé ne peut être accordé qu'au sein de l'organisation ou du projet dans lequel il a été créé.
Pour obtenir les autorisations nécessaires pour créer et gérer des rôles personnalisés, demandez à votre administrateur de vous accorder l'un des rôles suivants :
Administrateur de l'organisation avec un rôle personnalisé
Crée et gère des rôles personnalisés dans une organisation ou un projet. Ce rôle inclut la possibilité de mettre à jour, de lister, d'afficher, de désactiver et de supprimer des rôles personnalisés.
Les administrateurs IAM de l'organisation peuvent attribuer ce rôle.
Administrateur de projet avec rôle personnalisé
Crée et gère les rôles personnalisés dans un projet. Ce rôle permet de mettre à jour, lister, afficher, désactiver et supprimer des rôles personnalisés.
Les administrateurs IAM du projet peuvent attribuer ce rôle.
Découvrez comment attribuer des autorisations de rôle pour les organisations et les projets.
Créer un rôle personnalisé
Un rôle personnalisé est un groupe d'autorisations que vous pouvez attribuer à des utilisateurs. Vous pouvez créer un rôle personnalisé en regroupant les autorisations des rôles prédéfinis. Les rôles personnalisés héritent des fonctionnalités multizones IAM des rôles prédéfinis sur lesquels ils sont basés.
Créez un rôle personnalisé à l'aide de la console GDC ou de la CLI gdcloud :
Console
- Connectez-vous à la console GDC.
- Dans le sélecteur de projet, sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer un rôle personnalisé.
- Dans le menu de navigation, cliquez sur Identité et accès > Rôles.
- Cliquez sur Créer un rôle personnalisé.
- Dans le champ Titre, saisissez le titre de votre rôle personnalisé.
- Dans le champ Description, décrivez l'objectif de votre rôle personnalisé.
Dans le champ ID, saisissez l'identifiant unique de votre rôle personnalisé.
Les ID de rôle personnalisés peuvent comporter jusqu'à 10 caractères alphanumériques en minuscules et ne peuvent pas être modifiés après la création du rôle.
Sélectionnez une étape de lancement.
Sélectionnez le champ d'application de votre rôle personnalisé.
Si vous sélectionnez Organisation, le rôle personnalisé s'applique à toutes les ressources de l'organisation. Si vous sélectionnez Projets, le rôle personnalisé s'applique à tous les projets actuels et futurs de l'organisation. Vous pouvez sélectionner Limiter aux projets sélectionnés si vous souhaitez spécifier les projets pouvant accéder au rôle personnalisé.
Cliquez sur Ajouter des autorisations.
Cochez la case à côté d'une ou de plusieurs autorisations compatibles que vous souhaitez attribuer à votre rôle personnalisé.
Les autorisations disponibles sont limitées à votre champ d'application sélectionné. Si vous modifiez le champ d'application après avoir ajouté des autorisations, vous devez confirmer que toutes les autorisations précédemment attribuées ont été réinitialisées.
Cliquez sur Enregistrer.
Cliquez sur Create (Créer).
Votre nouveau rôle personnalisé s'affiche sur la page Rôles.
gdcloud
- Assurez-vous d'avoir installé gdcloud CLI. Pour en savoir plus, consultez la page Présentation de la gcloud CLI.
Pour créer un rôle personnalisé :
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSRemplacez les éléments obligatoires suivants :
ROLE_ID: identifiant unique de votre rôle personnalisé. Les ID de rôle personnalisés peuvent comporter jusqu'à 10 caractères alphanumériques en minuscules, et peuvent contenir des traits d'union et des points. Une fois l'ID de rôle personnalisé créé, vous ne pouvez plus le modifier.TITLE: titre convivial pour le rôle personnalisé.DESCRIPTION: description de l'objectif du rôle personnalisé.PERMISSIONS: liste des autorisations acceptées accordées pour le rôle personnalisé.
Vous pouvez également définir le rôle personnalisé dans un fichier YAML et utiliser l'indicateur
--file:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATHRemplacez
YAML_FILE_PATHpar le chemin d'accès au fichier YAML contenant les indicateurs obligatoires et facultatifs. Si vous utilisez l'option--file, toutes les autres options telles que--title,--descriptionet--permissionssont ignorées.Pour obtenir la liste complète des indicateurs obligatoires et facultatifs, ainsi que des exemples d'utilisation, consultez gdcloud iam roles create.
Gérer un rôle personnalisé
Vous êtes responsable de la gestion du cycle de vie de vos rôles personnalisés. Lorsque Distributed Cloud ajoute de nouvelles autorisations, fonctionnalités ou services, il met à jour les rôles prédéfinis. Les mises à jour telles que la suppression d'un rôle prédéfini ou la suppression d'autorisations d'un rôle prédéfini peuvent rendre non fonctionnels les rôles personnalisés qui s'appuient sur ces autorisations. Vous devez surveiller ces mises à jour et ajuster manuellement les rôles personnalisés concernés pour vous assurer qu'ils continuent de fonctionner comme prévu.
Vous pouvez modifier, désactiver ou supprimer un rôle personnalisé, mais vous ne pouvez pas modifier, désactiver ni supprimer un rôle prédéfini.
Afficher la liste des rôles
Affichez la liste des rôles prédéfinis et personnalisés disponibles à l'aide de la console GDC ou de la CLI gdcloud :
Console
- Connectez-vous à la console GDC.
- Dans le sélecteur de projet, sélectionnez l'organisation ou le projet dans lequel vous souhaitez afficher les rôles.
Dans le menu de navigation, cliquez sur Identité et accès > Rôles.
La liste des rôles prédéfinis et personnalisés disponibles s'affiche.
gdcloud
- Assurez-vous d'avoir installé gdcloud CLI. Pour en savoir plus, consultez la page Présentation de la gcloud CLI.
Lister les rôles :
gdcloud iam roles list ROLE_TYPE \ --project=PROJECTRemplacez les éléments suivants :
ROLE_TYPE:predefined,customouall.PROJECT: espace de noms du projet dans lequel vous souhaitez afficher les rôles. Si l'indicateur--projectn'est pas spécifié, les rôles à l'échelle de l'organisation sont listés.
Pour en savoir plus et obtenir des exemples d'utilisation, consultez gdcloud iam roles list.
Modifier un rôle personnalisé
Modifiez un rôle personnalisé à l'aide de la console GDC ou de la CLI gdcloud :
Console
- Connectez-vous à la console GDC.
- Dans le sélecteur de projet, sélectionnez l'organisation ou le projet dans lequel vous souhaitez modifier un rôle personnalisé.
- Dans le menu de navigation, cliquez sur Identité et accès > Rôles.
- Dans la liste des rôles, sélectionnez le rôle personnalisé que vous souhaitez modifier.
- Sur la page des détails du rôle personnalisé, cliquez sur Modifier.
- Modifiez les détails de votre rôle personnalisé, comme son titre, sa description, son ID ou son étape de lancement.
- Vous pouvez ajouter ou supprimer des autorisations attribuées.
- Cliquez sur Ajouter des autorisations pour sélectionner des autorisations dans la liste.
- Pour supprimer une autorisation attribuée, cochez la case à côté de celle que vous souhaitez supprimer, puis cliquez sur Supprimer.
Cliquez sur Enregistrer.
Un message s'affiche pour confirmer que vos modifications ont été enregistrées.
gdcloud
- Assurez-vous d'avoir installé gdcloud CLI. Pour en savoir plus, consultez la page Présentation de la gcloud CLI.
Modifier un rôle personnalisé :
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSRemplacez les éléments obligatoires suivants :
ROLE_ID: identifiant unique de votre rôle personnalisé.TITLE: titre convivial pour le rôle personnalisé.DESCRIPTION: description de l'objectif du rôle personnalisé.PERMISSIONS: liste des autorisations acceptées accordées pour le rôle personnalisé.
Vous pouvez également mettre à jour le rôle personnalisé dans son fichier YAML et utiliser l'indicateur
--file:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATHRemplacez
YAML_FILE_PATHpar le chemin d'accès au fichier YAML contenant les indicateurs obligatoires et facultatifs mis à jour. Si vous utilisez l'option--file, toutes les autres options telles que--title,--descriptionet--permissionssont ignorées.Pour obtenir la liste complète des indicateurs obligatoires et facultatifs, ainsi que des exemples d'utilisation, consultez gdcloud iam roles update.
Désactiver un rôle personnalisé
Les rôles personnalisés désactivés restent dans votre liste de rôles et peuvent toujours être attribués aux utilisateurs. Toutefois, ils n'ont aucun effet. Vous pouvez réactiver le rôle personnalisé à tout moment.
Désactivez un rôle personnalisé à l'aide de la console GDC ou de la CLI gdcloud :
Console
- Connectez-vous à la console GDC.
- Dans le sélecteur de projet, sélectionnez l'organisation ou le projet dans lequel vous souhaitez désactiver un rôle personnalisé.
- Dans le menu de navigation, cliquez sur Identité et accès > Rôles.
- Dans la liste des rôles, sélectionnez le rôle personnalisé que vous souhaitez désactiver.
- Sur la page des détails du rôle personnalisé, cliquez sur Désactiver.
gdcloud
- Assurez-vous d'avoir installé gdcloud CLI. Pour en savoir plus, consultez la page Présentation de la gcloud CLI.
Désactiver un rôle personnalisé :
gdcloud iam roles update ROLE_ID --stage=DISABLEDRemplacez l'élément obligatoire suivant :
ROLE_ID: identifiant unique de votre rôle personnalisé.
Pour en savoir plus, consultez gcloud iam roles update.
Supprimer un rôle personnalisé
La suppression d'un rôle personnalisé n'est possible qu'avec gcloud CLI. Les rôles supprimés sont définitivement supprimés du système. Toutefois, vous pouvez créer un rôle portant le même nom.
Supprimez un rôle personnalisé à l'aide de la gcloud CLI :
- Assurez-vous d'avoir installé gdcloud CLI. Pour en savoir plus, consultez la page Présentation de la gcloud CLI.
Supprimer un rôle personnalisé :
gdcloud iam roles delete ROLE_ID --project=PROJECTRemplacez les éléments suivants :
ROLE_ID: identifiant unique de votre rôle personnalisé.PROJECT: espace de noms du projet dans lequel vous souhaitez supprimer le rôle personnalisé. Si l'option--projectn'est pas spécifiée, le rôle à l'échelle de l'organisation est supprimé.
Pour en savoir plus et obtenir des exemples d'utilisation, consultez gdcloud iam roles delete.