Rôles et autorisations IAM

Pour accorder l'accès aux opérations Filestore, vous devez attribuer des rôles IAM (gestion de l'authentification et des accès) aux utilisateurs.

Les autorisations IAM ne contrôlent que l'accès aux opérations Filestore, comme la création d'une instance Filestore. Pour contrôler l'accès aux opérations sur le partage de fichiers, telles que la lecture ou l'exécution, utilisez les autorisations de fichier POSIX.

Utiliser des rôles Filestore

Pour accorder des autorisations Filestore aux utilisateurs, utilisez les rôles Éditeur Filestore (roles/file.editor) et Lecteur Filestore (roles/file.viewer). Pour ce faire, vous pouvez également utiliser des rôles de base, si vous préférez.

Utilisez le tableau suivant pour afficher les autorisations Filestore associées aux rôles Filestore.

Permission Action Éditeur Filestore Lecteur Filestore
file.locations.get Obtenir des informations sur un emplacement pris en charge par ce service.
file.locations.list Répertorier les informations concernant les emplacements pris en charge pour ce service.
file.instances.create Créer une instance Filestore
file.instances.update Mettez à jour une instance Filestore.
file.instances.delete Supprimez une instance Filestore.
file.instances.get Obtenez des détails sur une instance Filestore spécifique.
file.instances.list Répertoriez les instances Filestore dans le projet.
file.operations.get Obtenir l'état d'une opération sur une instance Filestore.
file.operations.list Répertoriez les opérations d'instance Filestore.
file.operations.cancel Annulez une opération d'instance Filestore.
file.operations.delete Supprimer une opération sur une instance Filestore.
file.backups.create Créer une sauvegarde Filestore.
file.backups.update Mettre à jour une sauvegarde Filestore.
file.backups.delete Supprimer une sauvegarde Filestore.
file.backups.get Obtenir des détails sur une sauvegarde Filestore spécifique.
file.backups.list Répertorier les sauvegardes Filestore dans le projet.
file.snapshots.create Créer un instantané Filestore.
file.snapshots.update Mettre à jour un instantané Filestore.
file.snapshots.delete Supprimer un instantané Filestore.
file.snapshots.get Obtenez des détails sur un instantané Filestore spécifique.
file.snapshots.list Répertoriez l'instantané Filestore dans le projet.

Utiliser des rôles de base

Les autorisations Filestore sont également associées aux rôles de base IAM de propriétaire, d'éditeur et de lecteur. Pour accorder des autorisations Filestore aux utilisateurs, vous pouvez utiliser ces rôles en plus des rôles Filestore.

Utilisez le tableau suivant pour voir les autorisations Filestore associées aux rôles de base.

Autorisation Action Propriétaire du projet Éditeur de projet Lecteur de projets
file.locations.get Obtenir des informations sur un emplacement pris en charge par ce service.
file.locations.list Répertorier les informations concernant les emplacements pris en charge pour ce service.
file.instances.create Créer une instance Filestore
file.instances.update Mettez à jour une instance Filestore.
file.instances.delete Supprimez une instance Filestore.
file.instances.get Obtenez des détails sur une instance Filestore spécifique.
file.instances.list Répertoriez les instances Filestore dans le projet.
file.operations.get Obtenir l'état d'une opération sur une instance Filestore.
file.operations.list Répertoriez les opérations d'instance Filestore.
file.operations.cancel Annulez une opération d'instance Filestore.
file.operations.delete Supprimer une opération sur une instance Filestore.
file.backups.create Créer une sauvegarde Filestore.
file.backups.update Mettre à jour une sauvegarde Filestore.
file.backups.delete Supprimer une sauvegarde Filestore.
file.backups.get Obtenir des détails sur une sauvegarde Filestore spécifique.
file.backups.list Répertorier les sauvegardes Filestore dans le projet.
file.snapshots.create Créer un instantané Filestore.
file.snapshots.update Mettre à jour un instantané Filestore.
file.snapshots.delete Supprimer un instantané Filestore.
file.snapshots.get Obtenez des détails sur un instantané Filestore spécifique.
file.snapshots.list Répertoriez l'instantané Filestore dans le projet.

Rôles personnalisés

Si les rôles IAM prédéfinis ne répondent pas à vos besoins, vous pouvez définir un rôle personnalisé avec des autorisations que vous spécifiez à l'aide des rôles personnalisés d'IAM. Lorsque vous créez des rôles personnalisés pour Filestore, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list pour que le rôle soit autorisé à interroger les ressources du projet.

D'autres rôles peuvent être requis pour accéder à d'autres services Google Cloud. Par exemple, si vous souhaitez afficher ou surveiller les métriques liées aux performances des instances Filestore, vous devez disposer des rôles suivants:

  • Lecteur Monitoring
  • Éditeur Monitoring

Pour savoir comment accorder l'accès à ces rôles et à d'autres, consultez la page Accorder l'accès à Cloud Monitoring.

Étapes suivantes