Gérer les pools d'identités de charges de travail et les fournisseurs

Cette page explique comment gérer les pools d'identités de charge de travail et les fournisseurs d'identité qui leurs sont associés.

Vous pouvez gérer les pools et les fournisseurs à l'aide de l'outil de ligne de commande gcloud ou de l'API REST.

Avant de commencer

Créez un pool d'identités de charge de travail et configurez un fournisseur d'identité. Pour savoir comment procéder, consultez l'une des pages suivantes :

Gérer les pools d'identités de charge de travail

Créer un pool

Pour créer un pool d'identités de charge de travail, procédez comme suit :

Répertorier les pools

Pour répertorier tous les pools d'identités de charge de travail d'un projet, procédez comme suit :

Obtenir un pool

Pour obtenir des détails sur un pool d'identités de charge de travail spécifique, procédez comme suit :

Mettre à jour un pool

Pour mettre à jour un pool d'identités de charge de travail existant, procédez comme suit :

Supprimer un pool

Pour supprimer un pool d'identités de charge de travail, procédez comme suit :

Vous pouvez annuler la suppression d'un fournisseur pendant un maximum de 30 jours. Passé ce délai, la suppression est définitive. Vous ne pouvez pas réutiliser le nom d'un pool avant de le supprimer définitivement.

Annuler la suppression d'un pool

Vous pouvez récupérer un pool d'identité de charge de travail supprimé pendant un maximum de 30 jours. Pour annuler la suppression d'un pool, procédez comme suit :

Gérer les fournisseurs d'identité de charge de travail

Créer un fournisseur

Pour créer un fournisseur d'identité de charge de travail, procédez comme suit :

gcloud

Exécutez la commande gcloud iam workload-identity-pools providers create-aws pour créer un fournisseur AWS.

Exécutez la commande gcloud iam workload-identity-pools providers create-oidc pour créer un fournisseur OIDC, y compris un fournisseur Microsoft Azure.

REST

Appelez projects.locations.workloadIdentityPools.providers.create().

Répertorier les fournisseurs

Pour répertorier tous les fournisseurs d'identités de charge de travail d'un projet, procédez comme suit :

Obtenir un fournisseur

Pour obtenir des détails sur un fournisseur d'identité de charge de travail spécifique, procédez comme suit :

Mettre à jour un fournisseur

Pour mettre à jour un fournisseur d'identité de charge de travail existant, procédez comme suit :

gcloud

Exécutez la commande gcloud iam workload-identity-pools providers update-aws pour mettre à jour un fournisseur AWS.

Exécutez la commande gcloud iam workload-identity-pools providers update-oidc pour mettre à jour un fournisseur OIDC, y compris un fournisseur Microsoft Azure.

REST

Appelez projects.locations.workloadIdentityPools.providers.patch().

Supprimer un fournisseur

Pour supprimer un fournisseur d'identité de charge de travail, procédez comme suit :

Vous pouvez annuler la suppression d'un fournisseur pendant un maximum de 30 jours. Passé ce délai, la suppression est définitive. Vous ne pouvez pas réutiliser le nom d'un fournisseur avant de le supprimer définitivement.

Annuler la suppression d'un pool

Vous pouvez récupérer un fournisseur d'identité de charge de travail supprimé pendant un maximum de 30 jours. Pour annuler la suppression d'un fournisseur, procédez comme suit :

Restreindre la configuration du fournisseur d'identité à l'aide de règles d'administration

En tant qu'administrateur de l'organisation, vous devez choisir les fournisseurs d'identité avec lesquels votre organisation est autorisée à fédérer.

Pour gérer les fournisseurs d'identité autorisés, mettez à jour la règle d'administration pour votre organisation. Dans Cloud Console ou à l'aide de l'outil de ligne de commande gcloud, utilisez la contrainte de liste constraints/iam.workloadIdentityPoolProviders pour spécifier les URI d'émetteur des fournisseurs autorisés.

Pour n'autoriser que la fédération depuis AWS, créez une seule contrainte avec l'URI https://sts.amazonaws.com. L'exemple suivant montre comment créer cette contrainte à l'aide de l'outil de ligne de commande gcloud :

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.amazonaws.com --organization=organization-number

Vous pouvez également spécifier les ID des compte AWS ayant accès à vos ressources Google Cloud. Pour spécifier les ID de compte, utilisez la contrainte de liste constraints/iam.workloadIdentityPoolAwsAccounts :

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolAwsAccounts \
    account-id --organization=organization-number

Pour autoriser la fédération depuis un seul fournisseur OIDC, créez une seule contrainte avec l'URI du fournisseur (issuer_uri) autorisé. Par exemple, le code suivant n'autorise la fédération qu'à partir d'un locataire Azure spécifique :

gcloud resource-manager org-policies allow constraints/iam.workloadIdentityPoolProviders \
     https://sts.windows.net/azure-tenant-id --organization=organization-number

Vous pouvez répéter ces commandes pour autoriser la fédération depuis d'autres fournisseurs.

Pour bloquer la fédération depuis tous les fournisseurs, procédez comme suit :

  1. Créez un fichier YAML contenant les éléments suivants :

    constraint: constraints/iam.workloadIdentityPoolProviders
listPolicy:
  allValues: DENY

  2. Transmettez le fichier à la commande gcloud resource-manager org-policies set-policy :

    gcloud resource-manager org-policies set-policy file-name.yaml \
    --organization=organization-number

Étape suivante

En savoir plus sur la fédération d'identité de charge de travail.