Contrôle des accès

Cette rubrique vous fournit des informations supplémentaires sur le contrôle de l'accès aux instances Cloud Filestore.

Cloud Filestore ne prend pas en charge Kerberos pour sécuriser l'accès aux instances Cloud Filestore. Utilisez plutôt les options IAM (Identity and Access Management, gestion de l'authentification et des accès Linux et Cloud) décrites ci-dessous.

Paramètres d'exportation du partage de fichiers

Un partage de fichiers Cloud Filestore se voit attribuer des paramètres /etc/exports fixes, comme suit :

  • La liste de clients, qui identifie les clients autorisés à se connecter au partage de fichiers, est composée de toutes les adresses IP internes du réseau VPC que vous avez sélectionné pour l'instance Cloud Filestore. Selon la norme RFC 1918, les adresses IP internes sont celles des plages 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16.
  • L'option rw est utilisée, donc le partage de fichiers est en lecture-écriture.
  • L'option de mappage d'ID utilisateur no_root_squash est utilisée pour que tous les utilisateurs et groupes, y compris l'utilisateur racine, soient identiques sur l'instance Cloud Filestore et sur le client.
  • Toutes les autres options utilisent les paramètres par défaut /etc/exports.

Vous ne pouvez pas modifier les paramètres d'exportation du partage de fichiers.

Autorisations de partage de fichiers

Lorsque vous créez une instance Cloud Filestore, le partage de fichiers pour cette instance dispose des autorisations Unix par défaut de rwxr-xr-x, notation octale 755. Ces autorisations signifient que sur une instance Cloud Filestore, seuls les utilisateurs racine sur les clients connectés ont un accès en lecture/écriture au partage de fichiers. Les autres utilisateurs ont uniquement un accès en lecture par défaut, mais les utilisateurs racine du client peuvent modifier les autorisations et les propriétaires.

Configurer l'accès sur un partage de fichiers

Lors de l'installation d'un partage de fichiers Cloud Filestore sur un client, vous pouvez utiliser les options de la commande mount et les paramètres du fichier /etc/fstab pour déterminer si le partage de fichiers installé est accessible en écriture et si des fichiers peuvent y être exécutés. Après avoir installé le partage de fichiers, vous pouvez utiliser les commandes Linux standards telles que chmod et setfacl pour définir les autorisations associées aux fichiers et au partage de fichiers.

Définir des autorisations cohérentes

Nous vous recommandons fortement de définir des autorisations cohérentes pour chaque utilisateur sur tous les clients se connectant à la même instance Cloud Filestore, en raison d'un problème qui se produit lorsque les conditions suivantes sont remplies simultanément :

  • Un partage de fichiers est installé sur plusieurs clients.
  • Un utilisateur a la permission d'utilisateur racine sur un client mais pas sur les autres.

Dans cette situation, l'utilisateur peut charger un fichier avec le bit setuid défini à partir du client où il dispose d'un accès d'utilisateur racine, ce qui lui permet ensuite d'exécuter le fichier en tant qu'utilisateur racine sur tout autre client pour lequel il dispose au moins d'une autorisation en lecture. Cela est dû au fait que le bit setuid permet à un utilisateur d'exécuter un fichier en utilisant les autorisations du propriétaire du fichier, en l'occurrence en tant qu'utilisateur racine.

Rôles et autorisations IAM

Pour accorder l'accès aux opérations Cloud Filestore, attribuez des rôles IAM (Cloud Identity and Access Management) aux utilisateurs.

Les autorisations IAM ne contrôlent que l'accès aux opérations Cloud Filestore, comme la création d'une instance Cloud Filestore. L'accès aux opérations sur le partage de fichiers Cloud Filestore, comme la lecture ou l'exécution, est déterminé par des autorisations Linux.

Utiliser les rôles Cloud Filestore

Vous pouvez utiliser les rôles d'éditeur Cloud Filestore et de lecteur Cloud Filestore pour accorder des autorisations Cloud Filestore aux utilisateurs. Si vous préférez, vous pouvez également utiliser des rôles primitifs pour cela.

Utilisez le tableau suivant pour afficher les autorisations Cloud Filestore associées aux rôles Cloud Filestore.

Autorisation Action Rôle éditeur Cloud Filestore Rôle lecteur Cloud Filestore
file.locations.get Obtenir des informations sur un emplacement spécifique pris en charge par ce service. X X
file.locations.list Répertorier les informations concernant les emplacements pris en charge pour ce service. X X
file.instances.create Créer une instance Cloud Filestore. X
file.instances.update Mettre à jour une instance Cloud Filestore. X
file.instances.delete Supprimer une instance Cloud Filestore. X
file.instances.get Obtenir des détails sur une instance Cloud Filestore spécifique. X X
file.instances.list Répertorier les instances Cloud Filestore dans le projet. X X
file.operations.get Obtenir l'état d'une opération sur une instance Cloud Filestore. X X
file.operations.list Répertorier les opérations sur une instance Cloud Filestore. X X
file.operations.cancel Annuler une opération sur une instance Cloud Filestore. X
file.operations.delete Supprimer une opération sur une instance Cloud Filestore. X

Utiliser des rôles primitifs

Les autorisations Cloud Filestore sont également associées aux rôles primitifs de propriétaire, d'éditeur et de lecteur IAM. Vous pouvez utiliser ces rôles en plus des rôles Cloud Filestore pour accorder des autorisations Cloud Filestore aux utilisateurs.

Utilisez le tableau suivant pour consulter les autorisations Cloud Filestore associées aux rôles primitifs.

Autorisation Action Rôle propriétaire du projet Rôle éditeur de projet Rôle lecteur de projet
file.locations.get Obtenir des informations sur un emplacement spécifique pris en charge par ce service. X X X
file.locations.list Répertorier les informations concernant les emplacements pris en charge pour ce service. X X X
file.instances.create Créer une instance Cloud Filestore. X X
file.instances.update Mettre à jour une instance Cloud Filestore. X X
file.instances.delete Supprimer une instance Cloud Filestore. X X
file.instances.get Obtenir des détails sur une instance Cloud Filestore spécifique. X X X
file.instances.list Répertorier les instances Cloud Filestore dans le projet. X X X
file.operations.get Obtenir l'état d'une opération sur une instance Cloud Filestore. X X X
file.operations.list Répertorier les opérations sur une instance Cloud Filestore. X X X
file.operations.cancel Annuler une opération sur une instance Cloud Filestore. X X
file.operations.delete Supprimer une opération sur une instance Cloud Filestore. X X

Rôles personnalisés

Si les rôles IAM prédéfinis ne répondent pas à vos besoins, vous pouvez définir un rôle personnalisé avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM. Lorsque vous créez des rôles personnalisés pour Cloud Filestore, assurez-vous d'inclure resourcemanager.projects.get et resourcemanager.projects.list afin que le rôle soit autorisé à interroger les ressources du projet. Sinon, la console GCP ne fonctionnera pas correctement pour Cloud Filestore.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Cloud Filestore Documentation