Pour certaines ressources Google Cloud, vous pouvez spécifier un compte de service géré par l'utilisateur que la ressource utilise comme identité par défaut. Ce processus est appelé liaison du compte de service à la ressource, ou association du compte de service à la ressource. Lorsque du code exécuté sur la ressource accède aux services et aux ressources Google Cloud, il utilise le compte de service associé à la ressource comme identité. Par exemple, si vous associez un compte de service à une instance Compute Engine et que les applications de l'instance utilisent une bibliothèque cliente pour appeler les API Google Cloud, ces applications utilisent automatiquement le compte de service associé pour l'authentification et l'autorisation.
Cette page explique comment configurer des comptes de service afin de pouvoir les associer à des ressources.
Avant de commencer
Enable the IAM and Resource Manager APIs.
Assurez-vous de bien comprendre le fonctionnement des comptes de service dans Cloud IAM.
Rôles requis
Pour obtenir l'autorisation dont vous avez besoin pour associer un compte de service à une ressource, demandez à votre administrateur de vous accorder le rôle IAM Utilisateur du compte de service (roles/iam.serviceAccountUser
) sur le compte de service.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation iam.serviceAccounts.actAs
, qui est requise pour associer un compte de service à une ressource.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Associer un compte de service à une ressource
Dans la plupart des cas, vous devez associer un compte de service à une ressource lorsque vous créez cette ressource. Une fois la ressource créée, vous ne pouvez pas modifier le compte de service qui lui est associé. Les instances Compute Engine font exception à cette règle : si nécessaire, vous pouvez modifier le compte de service associé à une instance.
Avant d'associer un compte de service à une ressource, vous devez configurer le compte de service. Ce processus diffère selon que le compte de service et la ressource se trouvent dans le même projet ou dans des projets différents. Après avoir configuré le compte de service, vous pouvez créer la ressource et lui associer le compte de service.
Configurer une ressource dans le même projet
Avant d'associer un compte de service à une autre ressource du même projet, accordez des rôles au compte de service afin qu'il puisse accéder aux ressources appropriées, de la même manière que vous attribueriez des rôles aux autres comptes principaux.
Configurer une ressource dans un autre projet
Dans certains cas, vous devrez peut-être associer un compte de service à une ressource située dans un autre projet. Par exemple, si vous créez tous vos comptes de service dans un seul projet, vous devrez peut-être en associer un à une nouvelle ressource d'un autre projet.
Avant d'associer un compte de service à une ressource d'un autre projet, procédez comme suit :
- Dans le projet où se trouve le compte de service, suivez les étapes décrites sur cette page pour activer l'association des comptes de service entre les projets.
- Identifiez le projet dans lequel vous allez créer la ressource.
Identifiez le type de ressource auquel vous allez associer le compte de service, ainsi que le service qui possède ce type de ressource.
Par exemple, si vous créez un abonnement Pub/Sub, Pub/Sub est le service qui possède la ressource.
Recherchez l'adresse e-mail de l'agent de service du service.
Les différents services utilisent des agents de service différents. Pour en savoir plus, consultez la section Agents de service.
Attribuez le rôle de créateur de jetons de compte de service (
roles/iam.serviceAccountTokenCreator
) aux agents de service :Console
Dans Google Cloud Console, accédez à la page Comptes de service.
Sélectionnez le projet qui possède le compte de service que vous allez associer à une ressource.
Cliquez sur l'adresse e-mail du compte de service que vous allez associer à une ressource.
Accédez à l'onglet Autorisations, puis recherchez la section Comptes principaux ayant accès à ce compte de service.
Cliquez sur
Accorder l'accès, puis saisissez l'adresse e-mail de l'agent de service.Cliquez sur Sélectionner un rôle, saisissez
Service Account Token Creator
, puis cliquez sur le rôle.Cliquez sur Enregistrer pour enregistrer les modifications.
Facultatif : si vous devez attribuer le rôle à un autre agent de service, répétez les étapes précédentes.
gcloud
Exécutez la commande
gcloud iam service-accounts add-iam-policy-binding
:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member=serviceAccount:SERVICE_AGENT_EMAIL \ --role=roles/iam.serviceAccountTokenCreator
Remplacez les valeurs suivantes :
SERVICE_ACCOUNT_NAME
: nom du compte de service géré par l'utilisateur que vous associez à une ressource.PROJECT_ID
: ID du projet dans lequel se trouve le compte de service géré par l'utilisateur.SERVICE_AGENT_EMAIL
: adresse e-mail associée au compte de service.
La commande affiche la stratégie d'autorisation mise à jour du compte de service géré par l'utilisateur.
Facultatif : si vous devez attribuer le rôle à un autre agent de service, exécutez à nouveau la commande.
REST
Pour accorder ce rôle, utilisez le modèle lecture-modification-écriture afin de mettre à jour la stratégie d'autorisation de votre compte de service géré par l'utilisateur.
Tout d'abord, lisez la stratégie d'autorisation du compte de service géré par l'utilisateur :
La méthode
projects.serviceAccounts.getIamPolicy
renvoie la stratégie d'autorisation pour le compte de service.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.-
USER_SA_NAME
: nom du compte de service géré par l'utilisateur que vous associez à une ressource.
Méthode HTTP et URL :
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/USER_SA_NAME@PROJECT_ID.iam.gserviceaccount.com:getIamPolicy
Corps JSON de la requête :
{ "requestedPolicyVersion": 3 }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "version": 1, "etag": "BwWl3KCTUMY=", "bindings": [ { "role": "roles/iam.serviceAccountUser", "members": [ "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com" ] } ] }
Ensuite, modifiez la stratégie d'autorisation pour accorder le rôle de créateur de jetons du compte de service à l'agent de service.
{ "version": 1, "etag": "BwWl3KCTUMY=", "bindings": [ { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:SERVICE_AGENT_EMAIL" ] }, { "role": "roles/iam.serviceAccountUser", "members": [ "serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" ] } ] }
Remplacez les éléments suivants :
SERVICE_AGENT_EMAIL
: adresse e-mail associée à l'agent de service.SERVICE_ACCOUNT_NAME
: nom du compte de service géré par l'utilisateur.PROJECT_ID
: ID du projet dans lequel se trouve le compte de service géré par l'utilisateur.
Enfin, écrivez la stratégie d'autorisation mise à jour :
La méthode
projects.serviceAccounts.setIamPolicy
met à jour la stratégie d'autorisation de votre compte de service.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.-
USER_SERVICE_ACCOUNT_NAME
: nom du compte de service géré par l'utilisateur que vous associez à une ressource. -
SERVICE_AGENT_EMAIL
: adresse e-mail de l'agent de service qui créera des jetons d'accès pour votre compte de service géré par l'utilisateur.
Méthode HTTP et URL :
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com:setIamPolicy
Corps JSON de la requête :
{ "policy": { "version": 1, "etag": "BwWl3KCTUMY=", "bindings": [ { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:SERVICE_AGENT_EMAIL" ] }, { "role": "roles/iam.serviceAccountUser", "members": [ "serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" ] } ] } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "version": 1, "etag": "BwWo331TkHE=", "bindings": [ { "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:SERVICE_AGENT_EMAIL" ] }, { "role": "roles/iam.serviceAccountUser", "members": [ "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com" ] } ] }
Associer le compte de service à la nouvelle ressource
Après avoir configuré le compte de service géré par l'utilisateur, vous pouvez créer une ressource et lui associer le compte de service. Assurez-vous de créer la ressource dans le projet approprié.
Consultez les instructions concernant le type de ressource que vous souhaitez créer :
Associer un compte de service lors de la création d'une ressource | |
---|---|
AI Platform Prediction | Versions de modèle |
AI Platform Training | Tâches |
Environnement standard App Engine | Versions d'application |
Environnement flexible App Engine | Versions d'application |
Cloud Composer | Environnements |
Fonctions Cloud Run | Fonction Cloud Run |
Cloud Life Sciences | Pipelines |
Cloud Run | Services |
Cloud Scheduler | Tâches |
Cloud Source Repositories |
|
Compute Engine | |
Dataflow | Tâches |
Datalab | Instances |
Dataproc | Clusters |
Eventarc | Déclencheurs |
Google Kubernetes Engine | |
Notebooks | Instances de notebook |
Pub/Sub | Abonnements |
Vertex AI | |
Workflows | Workflows |
Après avoir créé la ressource et associé le compte de service à celle-ci, vous pouvez attribuer des rôles au compte de service afin qu'il puisse accéder aux ressources appropriées. Ce processus revient à attribuer un rôle à un autre compte principal.
Pour savoir comment attribuer des rôles, consultez la section Accorder, modifier et révoquer les accès aux ressources.
Associer un compte de service à une ressource d'un autre projet
Par défaut, vous ne pouvez pas créer un compte de service dans un projet et l'associer à une ressource d'un autre projet. Si vous souhaitez conserver tous vos comptes de service dans un seul projet, vous devez mettre à jour la règle d'administration pour ce projet.
Activer l'association des comptes de service à plusieurs projets
Pour permettre aux utilisateurs d'associer des comptes de service d'un projet aux ressources d'un autre projet, vérifiez les contraintes booléennes suivantes dans la règle d'administration du projet où se trouvent vos comptes de service :
Assurez-vous que la contrainte booléenne
iam.disableCrossProjectServiceAccountUsage
n'est pas appliquée pour le projet.Cette contrainte booléenne détermine si vous pouvez associer un compte de service à une ressource d'un autre projet. La contrainte est appliquée par défaut.
Si cette contrainte n'est pas appliquée, IAM ajoute un privilège de projet qui empêche la suppression du projet. Ce privilège a l'origine
iam.googleapis.com/cross-project-service-accounts
. Nous vous déconseillons vivement de supprimer ce privilège.Recommandé : assurez-vous que la contrainte booléenne
iam.restrictCrossProjectServiceAccountLienRemoval
est appliquée pour le projet.Cette contrainte booléenne garantit que les comptes principaux ne peuvent supprimer le privilège du projet que s'ils disposent de l'autorisation
resourcemanager.projects.updateLiens
au niveau de l'organisation. Si cette contrainte n'est pas appliquée, les comptes principaux peuvent supprimer le privilège du projet s'ils disposent de cette autorisation au niveau du projet.
Pour savoir comment afficher ou modifier une contrainte booléenne dans une règle d'administration, consultez Créer et gérer des règles d'administration.
Désactiver l'association de comptes de service à plusieurs projets
Si vous avez déjà activé l'association de comptes de service entre projets, nous vous déconseillons vivement de désactiver cette fonctionnalité, en particulier dans les environnements de production.
Plus précisément, dans le projet où se trouvent vos comptes de service, vous ne devez effectuer aucune des modifications suivantes :
- Ne modifiez pas la règle d'administration du projet pour appliquer la contrainte booléenne
iam.disableCrossProjectServiceAccountUsage
. - Ne modifiez pas la règle d'administration du projet pour désactiver l'application de la contrainte booléenne
iam.restrictCrossProjectServiceAccountLienRemoval
. - Ne supprimez pas le privilège de projet avec l'origine
iam.googleapis.com/cross-project-service-accounts
, car il vous empêche de supprimer le projet. - Ne supprimez pas le projet.
Si vous êtes prêt à accepter le risque de désactiver cette fonctionnalité, vous pouvez tout de même réduire les risques en désactivant les comptes de service que vous utilisez dans les projets, puis en surveillant votre environnement Google Cloud pour détecter d'éventuels problèmes. Si vous rencontrez des problèmes, vous pouvez réactiver les comptes de service. Si vous ne constatez aucun problème, vous ne disposez peut-être pas de ressources Google Cloud qui dépendent d'un compte de service situé dans un autre projet.
Journaux d'audit pour l'association de comptes de service
Lorsqu'une entité principale utilise l'autorisation iam.serviceAccounts.actAs
pour associer un compte de service à une ressource, IAM génère un journal d'audit. Ce journal d'audit contient les informations suivantes:
- Adresse e-mail du compte principal qui a associé le compte de service à la ressource
- Informations sur le compte de service associé à la ressource
Pour obtenir la liste des ressources auxquelles vous pouvez associer des comptes de service, consultez la section Associer le compte de service à la nouvelle ressource sur cette page.
Pour obtenir un exemple de ce type de journal d'audit, consultez la section Journaux pour l'utilisation de l'autorisation iam.serviceAccounts.actAs
. Pour en savoir plus sur les journaux d'audit en général, consultez la page Présentation de Cloud Audit Logs.
Étape suivante
- Découvrez comment rattacher un compte de service à une instance Compute Engine.
- Consultez et appliquez les bonnes pratiques pour sécuriser les comptes de service.
- Obtenez plus d'informations sur les journaux d'audit d'IAM.