Cette page décrit les rôles et les autorisations d'Infrastructure Manager.
Infra Manager utilise Identity and Access Management (IAM) pour contrôler l'accès au service. Pour accorder l'accès au déploiement de ressources avec Infra Manager, attribuez les rôles IAM Infra Manager nécessaires au compte de service que vous utilisez pour appeler Infra Manager. Pour savoir comment accorder des autorisations aux comptes de service, consultez la section Gérer l'accès aux comptes de service.
Un compte de service n'est pas nécessaire pour afficher les déploiements, les révisions et les stratégies IAM d'Infra Manager. Pour afficher Infra Manager, accordez un accès à l'utilisateur, au groupe ou au compte de service.
Pour déployer ou afficher les ressources Google Cloud définies dans la configuration Terraform, vous devez accorder les autorisations de compte de service spécifiques à ces ressources. Ces autorisations s'ajoutent aux autorisations d'Infra Manager listées sur cette page. Pour obtenir la liste de tous les rôles et des autorisations qu'ils contiennent, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.
Rôles Infra Manager prédéfinis
IAM fournit des rôles prédéfinis qui accordent l'accès à des ressources Google Cloud spécifiques et empêchent les accès non autorisés aux autres ressources.
Le tableau suivant répertorie les rôles IAM Infra Manager et les autorisations associées:
Rôle | Description | Autorisations |
---|---|---|
Administrateur Infra Manager (roles/config.admin ) |
Pour un utilisateur, contrôle complet des ressources Infra Manager | config.deployments.create config.deployments.delete config.deployments.get config.deployments.getIamPolicy config.deployments.list config.deployments.setIamPolicy config.deployments.update config.previews.create config.previews.delete config.previews.get config.previews.list config.previews.export config.previews.upload config.locations.get config.locations.list config.operations.cancel config.operations.delete config.operations.get config.operations.list config.resources.get config.resources.list config.revisions.get config.revisions.list config.artifacts.import config.terraformversions.get config.terraformversions.listt resourcemanager.projects.get resourcemanager.projects.list |
Agent de service Infra Manager (roles/config.agent ) |
Fournissez un accès à un compte de service pour utiliser Infra Manager, y compris pour les déploiements, les révisions, la journalisation et les fichiers d'état Terraform. | storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete logging.logEntries.create config.deployments.getState config.deployments.updateState config.deployments.deleteState config.deployments.getLock config.previews.upload config.artifacts.import config.revisions.getState cloudbuild.connections.list cloudbuild.repositories.accessReadToken cloudbuild.repositories.list |
Compte de service Infra Manager (roles/cloudconfig.serviceAgent ) |
Lorsque vous activez l'API Infra Manager, le compte de service Infra Manager est automatiquement créé dans le projet et se voit attribuer ce rôle pour les ressources du projet. Le compte de service Infra Manager n'utilise ce rôle que selon les besoins pour effectuer des actions lors de la création, de la gestion ou de la suppression de déploiements et de révisions. | cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.create cloudbuild.builds.update cloudbuild.workerpools.use storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete |
Lecteur Infra Manager (roles/config.viewer ) |
Lire les déploiements, les révisions et les stratégies IAM | config.deployments.get config.deployments.getIamPolicy config.deployments.list config.previews.get config.previews.list config.locations.get config.locations.list config.operations.get config.operations.list config.resources.get config.resources.list config.revisions.get config.revisions.list config.terraformversions.get config.terraformversions.listt resourcemanager.projects.get resourcemanager.projects.list |
En plus des rôles prédéfinis Infra Manager, les rôles standard Lecteur et Propriétaire incluent également les autorisations associées à Infra Manager. Cependant, nous vous recommandons d'attribuer des rôles prédéfinis lorsque cela est possible afin de respecter le principe de sécurité du moindre privilège.
Le tableau suivant répertorie les rôles de base et les rôles IAM Infra Manager associés.
Rôle | Inclus le rôle |
---|---|
Lecteur | roles/config.viewer |
Propriétaire | roles/config.admin |
Autorisations
Les autorisations dont l'appelant doit disposer pour appeler chaque méthode sont répertoriées dans la documentation de référence de l'API REST.
Étape suivante
- Apprenez-en davantage sur IAM
- En savoir plus sur l'utilisation des conditions dans IAM
- En savoir plus sur les comptes de service Infra Manager