Comptes principaux IAM

Dans Identity and Access Management (IAM), vous contrôlez l'accès des principaux. Un principal représente une ou plusieurs identités qui se sont authentifiées auprès de Google Cloud.

Utiliser des principaux dans vos stratégies

Pour utiliser des principaux dans vos règles, procédez comme suit:

  1. Configurez les identités que Google Cloud peut reconnaître. La configuration des identités consiste à créer des identités que Google Cloud peut reconnaître. Vous pouvez configurer des identités pour les utilisateurs et les charges de travail.

    Pour savoir comment configurer des identités, consultez les ressources suivantes:

  2. Déterminez l'identifiant principal que vous utiliserez. L'identifiant du principal est la façon dont vous faites référence à un principal dans vos règles. Cet identifiant peut faire référence à une identité unique ou à un groupe d'identités.

    Le format que vous utilisez pour l'identifiant du principal dépend des éléments suivants:

    • Type de compte principal
    • Type de stratégie dans laquelle vous souhaitez inclure le principal

    Pour connaître le format de l'identifiant principal pour chaque type de compte principal dans chaque type de stratégie, consultez la section Identifiants principaux.

    Une fois que vous connaissez le format de l'identifiant, vous pouvez déterminer l'identifiant unique du principal en fonction de ses attributs, tels que son adresse e-mail.

  3. Incluez l'identifiant du principal dans votre stratégie. Ajoutez votre principal à votre stratégie, en respectant le format de la stratégie.

    Pour en savoir plus sur les différents types de stratégies dans IAM, consultez la page Types de stratégies.

Compatibilité avec les types de comptes principaux

Chaque type de stratégie IAM est compatible avec un sous-ensemble des types de comptes principaux compatibles avec IAM. Pour connaître les types de comptes principaux compatibles avec chaque type de règle, consultez la section Identifiants principaux.

Types de comptes principaux

IAM est compatible avec les types de comptes principaux suivants:

Les sections suivantes décrivent ces principaux types plus en détail.

Comptes Google

Un compte Google représente un développeur, un administrateur ou toute autre personne qui interagit avec Google Cloud à l'aide d'un compte qu'il a créé avec Google. Vous pouvez utiliser n'importe quelle adresse e-mail associée à un compte Google, également appelé compte utilisateur géré, comme principal. Cela inclut les adresses e-mail gmail.com et les adresses e-mail avec d'autres domaines.

Pour en savoir plus sur la configuration de comptes Google, consultez la section Comptes Cloud Identity ou Google Workspace.

Comptes de service

Un compte de service est un compte destiné à une application ou à une charge de travail de calcul plutôt qu'à un utilisateur final individuel. Lorsque vous exécutez du code hébergé surGoogle Cloud, vous spécifiez un compte de service à utiliser comme identité pour votre application. Vous pouvez créer autant de comptes de service que nécessaire pour représenter les différents composants logiques de votre application.

Pour en savoir plus sur les comptes de service, consultez la section Présentation des comptes de service.

Groupes Google

Un groupe Google est une collection nommée de comptes Google. Chaque groupe Google possède une adresse e-mail unique qui lui est associée. Vous pouvez trouver l'adresse e-mail associée à un groupe Google en accédant à sa page d'accueil, puis en cliquant sur À propos de. Pour en savoir plus sur les groupes Google, consultez la page d'accueil correspondante.

Les groupes Google constituent un moyen pratique d'appliquer des contrôles d'accès à un ensemble de principaux. Vous pouvez accorder et modifier des contrôles d'accès pour tout un groupe à la fois, plutôt que d'effectuer cette action pour chaque entité de sécurité individuelle. Vous pouvez également ajouter des comptes principaux à un groupe Google ou en supprimer, au lieu de mettre à jour une stratégie d'autorisation pour ajouter ou supprimer des comptes principaux.

Les groupes Google ne disposent pas d'identifiants de connexion et vous ne pouvez pas utiliser ces groupes pour établir une identité afin de demander l'accès à une ressource.

Pour en savoir plus sur l'utilisation des groupes pour le contrôle des accès, consultez les bonnes pratiques pour utiliser les groupes Google.

Comptes Google Workspace

Un compte Google Workspace représente un groupe virtuel de tous les comptes Google qu'il contient. Les comptes Google Workspace sont associés au nom de domaine Internet de votre organisation, lequel se présente sous la forme example.com. Lorsque vous créez un compte Google pour un nouvel utilisateur, tel que username@example.com, ce compte Google est ajouté au groupe virtuel dépendant de votre compte Google Workspace.

Comme les groupes Google, les comptes Google Workspace ne peuvent pas être utilisés pour établir une identité, mais ils permettent une gestion pratique des autorisations.

Domaines Cloud Identity

Un domaine Cloud Identity est semblable à un domaine Google Workspace, car il représente un groupe virtuel de tous les comptes Google d'une entreprise. Toutefois, les utilisateurs de domaines Cloud Identity n'ont pas accès aux applications et aux fonctionnalités de Google Workspace. Pour en savoir plus, consultez la section À propos de Cloud Identity.

allAuthenticatedUsers

La valeur allAuthenticatedUsers est un identifiant spécial qui représente tous les comptes de service et tous les internautes qui se sont authentifiés avec un compte Google. Cet identifiant inclut les comptes qui ne sont pas associés à un compte Google Workspace ou à un domaine Cloud Identity, tels que des comptes personnels Gmail. Les utilisateurs non authentifiés, tels que les visiteurs anonymes, ne sont pas pris en compte.

Ce type d'entité principale n'inclut pas les identités fédérées, qui sont gérées par des fournisseurs d'identité (IdP) externes. Si vous utilisez la fédération d'identité de personnel ou la fédération d'identité de charge de travail, n'utilisez pas allAuthenticatedUsers. Optez plutôt pour l'une des solutions suivantes :

Certains types de ressources ne sont pas compatibles avec ce type de compte principal.

allUsers

La valeur allUsers est un identifiant spécial qui représente toute personne ayant accès à Internet, y compris les utilisateurs authentifiés et non authentifiés.

Certains types de ressources ne sont pas compatibles avec ce type de compte principal.

Identités fédérées dans un pool d'identités de personnel

Une identité fédérée dans un pool d'identités de personnel est une identité utilisateur gérée par un IdP externe et fédérée à l'aide de la fédération des identités des employés. Vous pouvez utiliser une identité spécifique dans un pool d'identités de personnel ou certains attributs pour spécifier un groupe d'identités utilisateur dans un pool d'identités de personnel.

Identités fédérées dans un pool d'identités de charge de travail

Une identité fédérée dans un pool d'identités de charge de travail est une identité de charge de travail gérée par un IdP externe et fédérée à l'aide de la fédération d'identité de charge de travail. Vous pouvez utiliser une identité de charge de travail spécifique dans un pool d'identités de charge de travail ou certains attributs pour spécifier un groupe d'identités de charge de travail dans un pool d'identités de charge de travail.

Pods GKE

Les charges de travail exécutées sur GKE utilisent Workload Identity Federation for GKE pour accéder aux services Google Cloud . Pour en savoir plus sur les identifiants principaux des pods GKE, consultez la section Référencer des ressources Kubernetes dans les stratégies IAM.

Ensembles de comptes principaux Resource Manager

Chaque ressource Resource Manager (projets, dossiers et organisations) est associée à un ensemble d'identifiants. Lorsque vous créez des liaisons de stratégie de limite d'accès des comptes principaux, vous pouvez utiliser l'ensemble de comptes principaux d'une ressource Resource Manager pour référencer tous les comptes principaux associés à cette ressource.

Les ensembles de comptes principaux des ressources Resource Manager contiennent les comptes principaux suivants:

  • Ensemble de comptes principaux du projet: tous les comptes de service et pools d'identités de charge de travail du projet spécifié.
  • Ensemble de comptes principaux du dossier: tous les comptes de service et tous les pools d'identités de charge de travail de n'importe quel projet du dossier spécifié.
  • Ensemble de comptes principaux de l'organisation: contient les identités suivantes:

    • Toutes les identités de tous les domaines associés à votre numéro client Google Workspace
    • Tous les pools d'identités de personnel de votre organisation
    • Tous les comptes de service et les pools d'identités de charge de travail de n'importe quel projet de l'organisation

Étape suivante