Package google.iam.v1

Index

IAMPolicy

Présentation des API

Gère les stratégies de gestion de l'authentification et des accès (IAM).

Toute mise en œuvre d'une API offrant des fonctionnalités de contrôle d'accès emploie l'interface google.iam.v1.IAMPolicy.

Modèle de données

Le contrôle d'accès est appliqué lorsqu'un principal (utilisateur ou compte de service) effectue une action sur une ressource exposée par un service. Les ressources, identifiées par des noms de type URI, constituent l'unité de spécification du contrôle d'accès. Les mises en œuvre de service permettent de choisir la précision du contrôle d'accès ainsi que les autorisations acceptées pour leurs ressources. Par exemple, un service de base de données peut autoriser la spécification du contrôle d'accès seulement au niveau de la table, tandis qu'un autre peut l'autoriser également au niveau de la colonne.

Structure de la stratégie

Voir google.iam.v1.Policy

De manière intentionnelle, il ne s'agit pas d'une API de type CRUD, car les stratégies de contrôle d'accès sont créées et supprimées de manière implicite avec les ressources auxquelles elles sont associées.

AuditConfig

Spécifie la configuration d'audit d'un service. La configuration détermine les types d'autorisations consignés et les identités, le cas échéant, qui sont exclues de la journalisation. Une AuditConfig doit avoir une ou plusieurs AuditLogConfigs.

Si des AuditConfigs existent pour allServices et pour un service spécifique, l'union des deux AuditConfigs est utilisée pour ce service : les log_types spécifiés dans chaque AuditConfig sont activés, et les exempted_members de chaque AuditLogConfig sont exclus.

Exemple de stratégie avec plusieurs AuditConfigs :

{
  "audit_configs": [
    {
      "service": "allServices"
      "audit_log_configs": [
        {
          "log_type": "DATA_READ",
          "exempted_members": [
            "user:jose@example.com"
          ]
        },
        {
          "log_type": "DATA_WRITE",
        },
        {
          "log_type": "ADMIN_READ",
        }
      ]
    },
    {
      "service": "sampleservice.googleapis.com"
      "audit_log_configs": [
        {
          "log_type": "DATA_READ",
        },
        {
          "log_type": "DATA_WRITE",
          "exempted_members": [
            "user:aliya@example.com"
          ]
        }
      ]
    }
  ]
}

Pour sampleservice, cette stratégie active la journalisation DATA_READ, DATA_WRITE et ADMIN_READ. Par ailleurs, elle exclut jose@example.com de la journalisation DATA_READ et aliya@example.com de la journalisation DATA_WRITE.

Champs
service

string

Spécifie un service qui sera activé pour la journalisation d'audit. Par exemple, storage.googleapis.com et cloudsql.googleapis.com. allServices est une valeur spéciale qui couvre tous les services.

audit_log_configs[]

AuditLogConfig

Configuration de la journalisation de chaque type d'autorisation.

AuditLogConfig

Permet la configuration de la journalisation d'un type d'autorisation. Exemple :

{
  "audit_log_configs": [
    {
      "log_type": "DATA_READ",
      "exempted_members": [
        "user:jose@example.com"
      ]
    },
    {
      "log_type": "DATA_WRITE",
    }
  ]
}

Ce code active la journalisation DATA_READ et DATA_WRITE, tout en excluant jose@example.com de la journalisation DATA_READ.

Champs
log_type

LogType

Type de journal que cette configuration active.

exempted_members[]

string

Spécifie les identités qui ne génèrent pas de journalisation pour ce type d'autorisation. Ce champ utilise le même format que Binding.members.

ignore_child_exemptions

bool

Spécifie si les entités principales peuvent être exemptées pour le même LogType dans les stratégies de ressources de niveau inférieur. Si la valeur est "true", toutes les exceptions de niveau inférieur seront ignorées.

LogType

Liste des types d'autorisations valides pour lesquels la journalisation peut être configurée. Les écritures des administrateurs sont systématiquement consignées. Cela ne peut pas être modifié.

Enums
LOG_TYPE_UNSPECIFIED Cas par défaut. Ce type ne devrait jamais être utilisé.
ADMIN_READ L'administrateur lit des données. Exemple : CloudIAM getIamPolicy
DATA_WRITE Des données sont écrites. Exemple : CloudSQL Users create
DATA_READ Des données sont lues. Exemple : CloudSQL Users list

Liaison

Associe des membres members à un rôle role.

Champs
role

string

Rôle attribué aux members. Par exemple, roles/viewer, roles/editor ou roles/owner.

members[]

string

Spécifie les identités demandant l'accès à une ressource Cloud Platform. Les members peuvent prendre les valeurs suivantes :

  • allUsers : identifiant spécial qui représente toute personne ayant accès à Internet et possédant ou non un compte Google.

  • allAuthenticatedUsers : identifiant spécial qui représente toute personne authentifiée avec un compte Google ou un compte de service.

  • user:{emailid} : adresse e-mail qui représente un compte Google spécifique. Par exemple, alice@example.com.

  • serviceAccount:{emailid} : adresse e-mail qui représente un compte de service. Exemple :my-other-app@appspot.gserviceaccount.com

  • group:{emailid} : adresse e-mail qui représente un groupe Google. Exemple :admins@example.com

  • domain:{domain} : domaine G Suite (principal) qui représente tous les utilisateurs de ce domaine. Par exemple, google.com ou example.com.
condition

Expr

Condition associée à cette liaison. REMARQUE : Une condition non remplie empêchera l'accès de l'utilisateur via la liaison actuelle. Les différentes liaisons, y compris leurs conditions, sont examinées indépendamment.

GetIamPolicyRequest

Message de requête pour la méthode GetIamPolicy.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle la stratégie est demandée. Consultez la documentation sur l'opération pour connaître la valeur appropriée de ce champ.

options

GetPolicyOptions

FACULTATIF : Objet GetPolicyOptions permettant de spécifier des options pour GetIamPolicy. Ce champ est utilisé uniquement par Cloud IAM.

GetPolicyOptions

Encapsule les paramètres fournis à GetIamPolicy.

Champs
requested_policy_version

int32

Facultatif. Version du format de stratégie à renvoyer. Les valeurs acceptables sont 0 et 1. Si la valeur est 0 ou si le champ est omis, la version de format de stratégie 1 est renvoyée.

Règle

Définit une stratégie de gestion de l'authentification et des accès (IAM, Identity and Access Management). Elle permet de spécifier les stratégies de contrôle des accès aux ressources Cloud Platform.

Une stratégie Policy est constituée d'une liste de liaisons bindings. Une liaison binding associe une liste de membres members à un rôle role, où les membres peuvent être des comptes utilisateur, des groupes Google, des domaines Google et des comptes de service. Un role est une liste nommée d'autorisations définies par IAM.

Exemple JSON

{
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": ["user:sean@example.com"]
    }
  ]
}

Exemple YAML

bindings:
- members:
  - user:mike@example.com
  - group:admins@example.com
  - domain:google.com
  - serviceAccount:my-other-app@appspot.gserviceaccount.com
  role: roles/owner
- members:
  - user:sean@example.com
  role: roles/viewer

Pour obtenir une description d'IAM et de ses fonctionnalités, consultez le guide du développeur d'IAM.

Champs
version

int32

Obsolète.
bindings[]

Binding

Associe une liste de members à un role. Si bindings ne contient pas de membres, une erreur est générée.

audit_configs[]

AuditConfig

Spécifie la configuration de journalisation d'audit du cloud pour cette stratégie.
etag

bytes

etag permet d'effectuer un contrôle de simultanéité positive, pour éviter que les mises à jour simultanées d'une stratégie ne s'écrasent les unes les autres. Afin d'éviter les situations de concurrence, il est fortement suggéré que les systèmes utilisent etag dans le cycle lecture-modification-écriture pour effectuer des mises à jour de stratégies : un etag est renvoyé dans la réponse à getIamPolicy, et les systèmes doivent mettre cet élément dans la requête destinée à setIamPolicy de sorte à s'assurer que leur modification sera appliquée à la même version de la stratégie.

Si aucun etag n'est fourni dans l'appel de setIamPolicy, la stratégie existante est écrasée.

SetIamPolicyRequest

Message de requête pour la méthode SetIamPolicy.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle la stratégie est spécifiée. Consultez la documentation sur l'opération pour connaître la valeur appropriée de ce champ.

policy

Policy

OBLIGATOIRE : Stratégie complète à appliquer au paramètre resource. La taille de la stratégie est limitée à quelques dizaines de Ko. Une stratégie vide est une stratégie valide, mais certains services Cloud Platform (tels que les projets) peuvent la rejeter.

update_mask

FieldMask

FACULTATIF : Chemin FieldMask spécifiant les champs de la stratégie à modifier. Seuls les champs du masque seront modifiés. Si aucun masque n'est fourni, le masque suivant est utilisé par défaut : paths: "bindings, etag". Ce champ n'est utilisé que par Cloud IAM.

TestIamPermissionsRequest

Message de requête pour la méthode TestIamPermissions.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle vous demandez les détails de la stratégie. Consultez la documentation sur l'opération pour connaître la valeur appropriée de ce champ.

permissions[]

string

Ensemble des autorisations à vérifier pour la ressource resource. Les autorisations comportant des caractères génériques (comme "*" ou "storage.*") ne sont pas acceptées. Pour en savoir plus, consultez la page de présentation d'IAM.

TestIamPermissionsResponse

Message de réponse pour la méthode TestIamPermissions.

Champs
permissions[]

string

Sous-ensemble des autorisations TestPermissionsRequest.permissions dont dispose l'appelant.