Gérer les règles d'accès

Vous pouvez définir ou obtenir la gestion de l'authentification et des accès (IAM) ou la stratégie de contrôle des accès d'un ou de plusieurs tests de connectivité. En outre, vous pouvez afficher les autorisations dont dispose un utilisateur ou un compte de service pour un test de connectivité spécifique.

Ce document présente des exemples de contrôle des accès géré à l'aide de l'API Network Management. Pour suivre ces étapes dans Google Cloud Console ou à l'aide des commandes gcloud, consultez les guides d'utilisation d'IAM.

Pour plus d'informations sur les liaisons de stratégie et les ETags répertoriés dans les commandes suivantes, consultez la documentation de référence de l'API sur les stratégies IAM.

Pour en savoir plus sur les rôles et les autorisations IAM nécessaires pour exécuter des tests de connectivité, consultez la page Attribuer des accès.

Définir une règle de contrôle d'accès

Cette procédure définit la stratégie de contrôle d'accès à la ressource test de connectivité spécifiée.

API

Utilisez la méthode networkmanagement.connectivitytests.setIamPolicy pour définir la stratégie de contrôle des accès pour USER, ROLE et TEST_ID.

L'exemple suivant définit une stratégie qui lie le rôle networkmanagement.admin à username@yourcompany.com pour mytest-1.

 POST https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:setIamPolicy
   {
     "version": "VERSION",
     "etag": "ETAG",
     "bindings": [{
       "role": "ROLE",
       "members": [
         "MEMBER"
       ]
     }]
   }

Remplacez les valeurs suivantes :

  • TEST_ID : ID de l'objet de test de connectivité (test) que vous exécutez
  • VERSION : spécifie le format de la règle. Les valeurs valides sont les suivantes : 0, 1 et 3. Toute opération qui affecte les liaisons de rôles conditionnelles doit spécifier la version 3.
  • ETAG : permet d'effectuer un contrôle de simultanéité positive, pour éviter que les mises à jour simultanées d'une stratégie ne s'écrasent les unes les autres (par exemple, un ETag est BwWbrqiZFRs=).
  • ROLE : un rôle attribué aux membres (par exemple, roles/networkmanagement.admin)
  • MEMBER : spécifie les identités demandant l'accès à une ressource Google Cloud (par exemple, user:username@yourcompany.com). Pour obtenir la liste des types de membres, consultez la documentation de référence de l'API sur les stratégies IAM.

Obtenir une règle de contrôle d'accès

Cette procédure récupère la stratégie de contrôle d'accès à la ressource test de connectivité spécifiée.

API

Utilisez la méthode networkmanagement.connectivitytests.getIamPolicy pour définir la stratégie de contrôle des accès pour MEMBER, ROLE et TEST_ID.

L'exemple suivant récupère une stratégie qui lie le rôle networkmanagement.admin à username@yourcompany.com pour mytest-1.

  GET https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:getIamPolicy
    {
      "version": "VERSION",
      "etag": "ETAG",
      "bindings": [{
        "role": "ROLE",
        "members": [
          "MEMBER"
        ]
      }]
    }

Remplacez les valeurs suivantes :

  • TEST_ID : ID de l'objet de test de connectivité (test) que vous exécutez
  • VERSION : spécifie le format de la règle. Les valeurs valides sont les suivantes : 0, 1 et 3. Toute opération qui affecte les liaisons de rôles conditionnelles doit spécifier la version 3.
  • ETAG : permet d'effectuer un contrôle de simultanéité positive, pour éviter que les mises à jour simultanées d'une stratégie ne s'écrasent les unes les autres (par exemple, un ETag est BwWbrqiZFRs=).
  • ROLE : un rôle attribué à des membres (par exemple, roles/networkmanagement.admin)
  • MEMBER : spécifie les identités demandant l'accès à une ressource Google Cloud (par exemple, user:username@yourcompany.com). Pour obtenir la liste des types de membres, consultez la documentation de référence de l'API sur les stratégies IAM.

testIamPermissions

Cette procédure renvoie les autorisations dont dispose un utilisateur ou un compte de service sur une ressource test de connectivité.

API

Utilisez la méthode networkmanagement.connectivitytests.testIamPermissions pour renvoyer les autorisations attribuées à une commande TEST_ID.

L'exemple suivant vérifie que username@yourcompany.com dispose de l'autorisation networkmanagement.connectivitytests.get pour mytest-1.

  POST https://networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:testIamPermissions
    {
      "permissions": [
        "networkmanagement.connectivitytests.get"
      ]
    }

Remplacez TEST_ID par l'ID de l'objet test de connectivité que vous exécutez.

Étape suivante