Cette page a été traduite par l'API Cloud Translation.

Contrôle des accès avec IAM

Cette page décrit les rôles et les autorisations d'Infrastructure Manager.

Infra Manager utilise Identity and Access Management (IAM) pour contrôler l'accès au service. Pour accorder l'accès au déploiement de ressources avec Infra Manager, attribuez les rôles IAM Infra Manager nécessaires au compte de service que vous utilisez pour appeler Infra Manager. Pour savoir comment accorder des autorisations aux comptes de service, consultez la section Gérer l'accès aux comptes de service.

Un compte de service n'est pas nécessaire pour afficher les déploiements, les révisions et les stratégies IAM d'Infra Manager. Pour afficher Infra Manager, accordez un accès à l'utilisateur, au groupe ou au compte de service.

Pour déployer ou afficher les ressources Google Cloud définies dans la configuration Terraform, vous devez accorder les autorisations de compte de service spécifiques à ces ressources. Ces autorisations s'ajoutent aux autorisations d'Infra Manager listées sur cette page. Pour obtenir la liste de tous les rôles et des autorisations qu'ils contiennent, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.

Rôles Infra Manager prédéfinis

IAM fournit des rôles prédéfinis qui accordent l'accès à des ressources Google Cloud spécifiques et empêchent les accès non autorisés aux autres ressources.

Le tableau suivant répertorie les rôles IAM Infra Manager et les autorisations associées:

Rôle	Description	Autorisations
Administrateur Infra Manager (`roles/config.admin`)	Pour un utilisateur, contrôle complet des ressources Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.deployments.setIamPolicy` `config.deployments.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`
Agent de service Infra Manager (`roles/config.agent`)	Fournissez un accès à un compte de service pour utiliser Infra Manager, y compris pour les déploiements, les révisions, la journalisation et les fichiers d'état Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list`
Compte de service Infra Manager (`roles/cloudconfig.serviceAgent`)	Lorsque vous activez l'API Infra Manager, le compte de service Infra Manager est automatiquement créé dans le projet et se voit attribuer ce rôle pour les ressources du projet. Le compte de service Infra Manager n'utilise ce rôle que selon les besoins pour effectuer des actions lors de la création, de la gestion ou de la suppression de déploiements et de révisions.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Lecteur Infra Manager (`roles/config.viewer`)	Lire les déploiements, les révisions et les stratégies IAM	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`

En plus des rôles prédéfinis Infra Manager, les rôles standard Lecteur et Propriétaire incluent également les autorisations associées à Infra Manager. Cependant, nous vous recommandons d'attribuer des rôles prédéfinis lorsque cela est possible afin de respecter le principe de sécurité du moindre privilège.

Le tableau suivant répertorie les rôles de base et les rôles IAM Infra Manager associés.

Rôle	Inclus le rôle
Lecteur	`roles/config.viewer`
Propriétaire	`roles/config.admin`

Autorisations

Les autorisations dont l'appelant doit disposer pour appeler chaque méthode sont répertoriées dans la documentation de référence de l'API REST.

Étape suivante

Apprenez-en davantage sur IAM
En savoir plus sur l'utilisation des conditions dans IAM
En savoir plus sur les comptes de service Infra Manager