Identity and Access Management (IAM) propose plusieurs types de stratégies pour vous aider à contrôler les ressources auxquelles les comptes principaux peuvent accéder. Cette page vous aide à comprendre les différences entre les méthodes d'utilisation et de gestion de ces types de règles.
Types de stratégies IAM
IAM propose les types de stratégies suivants:
- Règles d'autorisation
- Stratégies de refus
- Stratégies de limite d'accès des comptes principaux (PAB)
Le tableau suivant récapitule les différences entre ces types de stratégies:
| Stratégie | Fonction de stratégie | API utilisée pour gérer la stratégie | Relation entre les stratégies et les cibles | Méthode d'association des règles à la cible | Ressource parente de la stratégie |
|---|---|---|---|---|---|
| Règles d'autorisation | Accorder l'accès aux ressources aux comptes principaux | L'API de la ressource pour laquelle vous souhaitez gérer les règles d'autorisation |
Relation de type un à un Chaque stratégie d'autorisation est associée à une ressource. Chaque ressource ne peut avoir qu'une seule stratégie d'autorisation. |
Spécifier la ressource lors de la création de la stratégie | Identique à la ressource à laquelle la stratégie d'autorisation est associée |
| Stratégies de refus | S'assurer que les comptes principaux ne peuvent pas utiliser d'autorisations spécifiques | API IAM v2 |
Relation un à plusieurs Chaque stratégie de refus est associée à une ressource. Chaque ressource peut comporter jusqu'à 500 stratégies de refus. |
Spécifier une ressource lors de la création de la règle de refus | Identique à la ressource à laquelle la stratégie de refus est associée |
| Stratégies PAB | Limiter les ressources auxquelles un compte principal est autorisé à accéder | API IAM v3 |
Relation plusieurs à plusieurs Chaque stratégie de limite d'accès des comptes principaux peut être associée à un nombre illimité d'ensembles de comptes principaux. Chaque ensemble de comptes principaux peut être associé à dix stratégies de limite d'accès des comptes principaux. |
Créer une liaison de stratégie qui associe la stratégie de limite d'accès des comptes principaux à un ensemble de comptes principaux | L'entreprise |
Les sections suivantes fournissent des informations détaillées sur chaque type de règle.
Stratégies permettant d'accorder l'accès aux comptes principaux
Pour accorder aux comptes principaux l'accès aux ressources, utilisez des règles d'autorisation IAM.
Les règles d'autorisation vous permettent d'accorder l'accès aux ressources dans Google Cloud. Les stratégies d'autorisation sont composées de liaisons de rôles et de métadonnées. Les liaisons de rôle spécifient les comptes principaux qui doivent disposer d'un rôle donné sur la ressource.
Les règles d'autorisation sont toujours associées à une seule ressource. Une fois qu'une stratégie d'autorisation est associée à une ressource, elle est héritée par les descendants de cette ressource.
Pour créer et appliquer une stratégie d'autorisation, identifiez une ressource qui accepte les stratégies d'autorisation, puis utilisez la méthode setIamPolicy de cette ressource pour créer la stratégie d'autorisation. Tous les comptes principaux de la stratégie d'autorisation se voient attribuer les rôles spécifiés sur la ressource et sur tous ses descendants. Chaque ressource ne peut être associée qu'à une seule stratégie d'autorisation.
Pour en savoir plus sur les stratégies d'autorisation, consultez la section Comprendre les stratégies d'autorisation.
Stratégies pour refuser l'accès aux comptes principaux
Pour refuser l'accès des comptes principaux aux ressources, utilisez des stratégies de refus IAM. Les stratégies de refus IAM sont disponibles dans l'API IAM v2.
Les stratégies de refus, tout comme les stratégies d'autorisation, sont toujours associées à une seule ressource. Vous pouvez associer une stratégie de refus à un projet, un dossier ou une organisation. Ce projet, ce dossier ou cette organisation joue également le rôle de parent de la règle dans la hiérarchie des ressources. Une fois qu'une stratégie de refus est associée à une ressource, elle est héritée par les descendants de cette ressource.
Pour créer et appliquer des stratégies de refus, vous devez utiliser l'API IAM v2. Lorsque vous créez une stratégie de refus, vous spécifiez la ressource à laquelle elle est associée. Tous les comptes principaux de la stratégie de refus sont empêchés d'utiliser les autorisations spécifiées pour accéder à cette ressource et à ses descendants. Chaque ressource peut être associée à 500 stratégies de refus maximum.
Pour en savoir plus sur les stratégies de refus, consultez la section Stratégies de refus.
Stratégies permettant de limiter les ressources auxquelles un compte principal peut accéder
Pour limiter les ressources auxquelles un compte principal est autorisé à accéder, utilisez une stratégie de limite d'accès des comptes principaux. Les stratégies de limite d'accès des comptes principaux sont disponibles dans l'API IAM v3.
Pour créer et appliquer une stratégie de limite d'accès des comptes principaux, vous devez créer une stratégie de limite d'accès des comptes principaux, puis une liaison de règles pour la connecter à un ensemble de comptes principaux.
Les stratégies de limite d'accès des comptes principaux sont toujours des enfants de votre organisation. Les associations de règles pour les stratégies de limite d'accès des comptes principaux sont des enfants du projet, du dossier ou de l'organisation le plus proche de l'ensemble de comptes principaux référencé dans l'association de règles.
Chaque liaison de stratégie associe une stratégie de limite d'accès des comptes principaux à un ensemble de comptes principaux. Une règle de limite d'accès des comptes principaux peut être liée à un nombre illimité d'ensembles de comptes principaux. Chaque ensemble de comptes principaux peut être associé à dix stratégies de limite d'accès des comptes principaux. Lorsqu'une stratégie de limite d'accès des comptes principaux est supprimée, toutes les liaisons de stratégie associées sont également supprimées.
Pour en savoir plus sur les stratégies de limite d'accès des comptes principaux, consultez Stratégies de limite d'accès des comptes principaux.
Évaluation de la stratégie
Lorsqu'un compte principal tente d'accéder à une ressource, IAM évalue toutes les stratégies d'autorisation, de refus et de limite d'accès des comptes principaux pertinentes pour vérifier si le compte principal est autorisé à accéder à la ressource. Si l'une de ces stratégies indique que le compte principal ne doit pas pouvoir accéder à la ressource, IAM empêche l'accès.
En réalité, IAM évalue tous les types de stratégies simultanément, puis compile les résultats pour déterminer si le principal peut accéder à la ressource. Toutefois, il peut être utile de considérer cette évaluation des règles comme se déroulant en plusieurs étapes:
-
Cloud IAM vérifie toutes les stratégies de limite d'accès des comptes principaux pertinentes pour voir si le compte principal est éligible à l'accès à la ressource. Une stratégie de limite d'accès des comptes principaux est pertinente si les conditions suivantes sont remplies:
- La stratégie est liée à un ensemble de comptes principaux qui inclut le compte principal.
- La stratégie de limite d'accès des comptes principaux bloque l'autorisation que le compte principal tente d'utiliser. Les autorisations bloquées par une règle de limite d'accès des comptes principaux dépendent de la version de cette règle. Vous spécifiez la version de la stratégie lorsque vous créez la stratégie de limite d'accès des comptes principaux. Pour en savoir plus, consultez la section Versions de stratégies de limite d'accès des comptes principaux.
Après avoir vérifié les stratégies de limite d'accès des comptes principaux pertinentes, IAM effectue l'une des actions suivantes:
- Si les stratégies de limite d'accès des comptes principaux pertinentes n'incluent pas la ressource à laquelle le compte principal tente d'accéder, IAM l'empêche d'y accéder.
- Si les stratégies de limite d'accès des comptes principaux pertinentes incluent la ressource à laquelle le compte principal tente d'accéder, IAM passe à l'étape suivante.
- Si aucune stratégie de limite d'accès des comptes principaux pertinente n'existe ou si IAM ne peut pas les évaluer, IAM passe à l'étape suivante.
-
Cloud IAM vérifie toutes les stratégies de refus pertinentes pour voir si le compte principal a été refusé. Les stratégies de refus applicables sont les stratégies de refus associées à la ressource, ainsi que les stratégies de refus héritées.
- Si l'une de ces stratégies de refus empêche le compte principal d'utiliser une autorisation requise, IAM l'empêche d'accéder à la ressource.
- Si aucune stratégie de refus n'empêche le compte principal d'utiliser une autorisation requise, IAM passe à l'étape suivante.
-
Cloud IAM vérifie toutes les stratégies d'autorisation pertinentes pour voir si le compte principal dispose des autorisations requises. Les stratégies d'autorisation pertinentes sont les stratégies d'autorisation associées à la ressource, ainsi que toutes les stratégies d'autorisation héritées.
- Si le compte principal ne dispose pas des autorisations requises, IAM l'empêche d'accéder à la ressource.
- Si le compte principal dispose des autorisations requises, IAM lui permet d'accéder à la ressource.
Le schéma suivant illustre ce flux d'évaluation des stratégies :
Étape suivante
- En savoir plus sur les stratégies d'autorisation.
- En savoir plus sur les stratégies de refus.
- En savoir plus sur les stratégies de limite d'accès des comptes principaux.