Cette page décrit les identités intégrées pour les ressources, qui vous permettent d'attribuer des rôles aux ressources dans vos stratégies d'autorisation IAM.
Identités intégrées
Certaines ressources disposent d'identités intégrées. Ces identités permettent aux ressources d'agir comme des principaux. Par conséquent, les ressources avec des identités intégrées peuvent effectuer les opérations suivantes:
- Avoir des rôles IAM attribués à l'aide de l'identifiant principal de la ressource
- Accéder à d'autres ressources sans utiliser d'agents de service
Prenons l'exemple des paramètres du Gestionnaire de paramètres, qui disposent d'identités intégrées. Les paramètres ont parfois besoin d'accéder à Secret Manager pour fonctionner correctement. Pour autoriser un paramètre à accéder à Secret Manager, vous devez utiliser son identifiant pour lui attribuer le rôle "Accesseur de secrets" de Secret Manager (roles/secretmanager.secretAccessor). Le paramètre peut ensuite accéder aux secrets de Secret Manager en votre nom.
Pour obtenir la liste des ressources avec des identités intégrées, consultez la section Ressources avec des identités intégrées.
Vous ne pouvez pas utiliser l'identité intégrée d'une ressource pour authentifier les charges de travail gérées par le client, comme les charges de travail exécutées sur des instances Compute Engine. Si vous devez authentifier une charge de travail, utilisez l'une des méthodes décrites dans la section Méthodes d'authentification chez Google.
Attribuer des rôles aux ressources avec des identités intégrées
Si une ressource dispose d'une identité intégrée, vous pouvez lui attribuer des rôles en incluant son identifiant principal dans vos règles d'autorisation. Pour connaître le format à utiliser pour l'identifiant principal de chaque ressource, consultez la section Identifiants principaux pour les ressources individuelles.
IAM propose également des identifiants pour des ensembles de ressources avec des identités intégrées qui partagent certaines caractéristiques, telles que le type ou l'ancêtre. Vous pouvez utiliser ces identifiants dans vos règles d'autorisation pour attribuer le même rôle à plusieurs ressources. Pour connaître les formats acceptés, consultez la section Identifiants principaux pour les ensembles de ressources.