Contrôle des accès avec IAM

Cette page décrit les rôles et les autorisations d'Infrastructure Manager.

Infra Manager utilise Identity and Access Management (IAM) pour contrôler l'accès au service. Pour accorder l'accès au déploiement de ressources avec Infra Manager, attribuez les rôles IAM Infra Manager nécessaires au compte de service que vous utilisez pour appeler Infra Manager. Pour savoir comment accorder des autorisations aux comptes de service, consultez la section Gérer l'accès aux comptes de service.

Un compte de service n'est pas nécessaire pour afficher les déploiements, les révisions et les stratégies IAM d'Infra Manager. Pour afficher Infra Manager, accordez un accès à l'utilisateur, au groupe ou au compte de service.

Pour déployer ou afficher les ressources Google Cloud définies dans la configuration Terraform, vous devez accorder les autorisations de compte de service spécifiques à ces ressources. Ces autorisations s'ajoutent aux autorisations d'Infra Manager listées sur cette page. Pour obtenir la liste de tous les rôles et des autorisations qu'ils contiennent, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.

Rôles Infra Manager prédéfinis

IAM fournit des rôles prédéfinis qui accordent l'accès à des ressources Google Cloud spécifiques et empêchent les accès non autorisés aux autres ressources.

Le tableau suivant répertorie les rôles IAM Infra Manager et les autorisations associées:

Rôle Description Autorisations
Administrateur Infra Manager (roles/config.admin) Pour un utilisateur, contrôle complet des ressources Infra Manager config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deployments.setIamPolicy
config.deployments.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list
Agent de service Infra Manager (roles/config.agent) Fournissez un accès à un compte de service pour utiliser Infra Manager, y compris pour les déploiements, les révisions, la journalisation et les fichiers d'état Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
Compte de service Infra Manager (roles/cloudconfig.serviceAgent) Lorsque vous activez l'API Infra Manager, le compte de service Infra Manager est automatiquement créé dans le projet et se voit attribuer ce rôle pour les ressources du projet. Le compte de service Infra Manager n'utilise ce rôle que selon les besoins pour effectuer des actions lors de la création, de la gestion ou de la suppression de déploiements et de révisions. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Lecteur Infra Manager (roles/config.viewer) Lire les déploiements, les révisions et les stratégies IAM config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list

En plus des rôles prédéfinis Infra Manager, les rôles standard Lecteur et Propriétaire incluent également les autorisations associées à Infra Manager. Cependant, nous vous recommandons d'attribuer des rôles prédéfinis lorsque cela est possible afin de respecter le principe de sécurité du moindre privilège.

Le tableau suivant répertorie les rôles de base et les rôles IAM Infra Manager associés.

Rôle Inclus le rôle
Lecteur roles/config.viewer
Propriétaire roles/config.admin

Autorisations

Les autorisations dont l'appelant doit disposer pour appeler chaque méthode sont répertoriées dans la documentation de référence de l'API REST.

Étape suivante