Pour autoriser un utilisateur ou une application à accéder aux ressources Pub/Sub Lite, attribuez au moins un rôle prédéfini ou personnalisé au compte de service ou au compte utilisateur utilisé par l'application. Les rôles incluent des autorisations permettant d'effectuer des actions spécifiques sur les ressources Pub/Sub Lite.
Rôles prédéfinis
Le tableau suivant répertorie les rôles prédéfinis qui vous donnent accès aux ressources Pub/Sub Lite :
Rôle
Titre
Description
Autorisations
roles/pubsublite.admin
Administrateur Pub/Sub Lite
Accès complet aux sujets et aux abonnements Lite.
pubsublite.*
roles/pubsublite.editor
Éditeur Pub/Sub Lite
Modifier les sujets et les abonnements Lite, publier des messages sur des sujets Lite et recevoir des messages des abonnements Lite
pubsublite.*
roles/pubsublite.publisher
Publicateur Pub/Sub Lite
Publier des messages sur des sujets Lite.
pubsublite.topics.getPartitions
pubsublite.topics.publish
pubsublite.locations.openKafkaStream
roles/pubsublite.subscriber
Abonné Pub/Sub Lite
Recevoir des messages provenant d'abonnements Lite
pubsublite.operations.get
pubsublite.subscriptions.getCursor
pubsublite.subscriptions.seek
pubsublite.subscriptions.setCursor
pubsublite.subscriptions.subscribe
pubsublite.topics.computeHeadCursor
pubsublite.topics.computeMessageStats
pubsublite.topics.computeTimeCursor
pubsublite.topics.getPartitions
pubsublite.topics.subscribe
pubsublite.locations.openKafkaStream
roles/pubsublite.viewer
Lecteur Pub/Sub Lite
Afficher les sujets et les abonnements Lite
pubsublite.operations.get
pubsublite.operations.list
pubsublite.subscriptions.get
pubsublite.subscriptions.getCursor
pubsublite.subscriptions.list
pubsublite.topics.get
pubsublite.topics.getPartitions
pubsublite.topics.list
pubsublite.topics.listSubscriptions
Rôles personnalisés
Les rôles personnalisés peuvent inclure toutes les autorisations que vous spécifiez. Vous pouvez créer des rôles personnalisés qui incluent des autorisations permettant d'effectuer des opérations administratives spécifiques, comme mettre à jour des sujets Lite ou supprimer des abonnements Lite. Pour créer des rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés.
Le tableau suivant répertorie les exemples de rôles personnalisés :
Description
Autorisations
Créer et gérer des réservations Lite
pubsublite.reservations.create
pubsublite.reservations.update
pubsublite.reservations.get
pubsublite.reservations.list
pubsublite.reservations.delete
Créer et gérer des sujets Lite
pubsublite.topics.create
pubsublite.topics.update
pubsublite.topics.get
pubsublite.topics.getPartitions
pubsublite.topics.list
pubsublite.topics.listSubscriptions
pubsublite.topics.delete
Créer et gérer des abonnements Lite
pubsublite.subscriptions.create
pubsublite.topics.subscribe
pubsublite.subscriptions.update
pubsublite.subscriptions.get
pubsublite.subscriptions.list
pubsublite.subscriptions.delete
Créez des sujets et des abonnements Lite.
pubsublite.topics.create
pubsublite.subscriptions.create
pubsublite.topics.subscribe
Modifiez les sujets et les abonnements Lite.
pubsublite.topics.update
pubsublite.subscriptions.update
Supprimez les sujets et les abonnements Lite.
pubsublite.topics.delete
pubsublite.subscriptions.delete
Attribuer des rôles
Vous pouvez accorder des rôles pour accéder aux ressources Pub/Sub Lite au niveau du projet. Par exemple, vous pouvez autoriser un compte de service à afficher n'importe quel sujet Lite dans un projet, mais vous ne pouvez pas autoriser un compte de service à afficher un seul sujet Lite.
Pour accorder un rôle à un projet, vous pouvez utiliser la console Google Cloud ou Google Cloud CLI.
Console
Pour attribuer un rôle à un utilisateur, un compte de service ou un autre membre, procédez comme suit :
Dans la console Google Cloud, accédez à la page IAM.
Vous pouvez également obtenir un fichier JSON ou YAML avec la stratégie Cloud IAM actuelle, ajouter plusieurs rôles ou membres au fichier, puis mettre à jour la stratégie.
Pour lire et gérer la stratégie, utilisez la Google Cloud CLI, l'API IAM ou IAM. Pour en savoir plus, consultez la section Contrôler l'accès de manière automatisée.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/01/30 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/01/30 (UTC)."],[],[],null,["# Access control with IAM\n\n| **Note:** Pub/Sub Lite is deprecated. Effective March 18, 2026, Pub/Sub Lite will be turned down. \n|\n| - Current customers: Pub/Sub Lite remains functional until March 18, 2026. \n| If you have not used Pub/Sub Lite within the 90-day period preceding July 15, 2025 (April 15, 2025 - July 15, 2025), you won't be able to access Pub/Sub Lite starting on July 15, 2025.\n| - New customers: Pub/Sub Lite is no longer available for new customers after September 24, 2024.\n|\n| You can migrate your Pub/Sub Lite service to\n| [Google Cloud Managed Service for Apache Kafka](/pubsub/lite/docs/migrate-pubsub-lite-to-managed-service-for-apache-kafka)\n| or [Pub/Sub](/pubsub/lite/docs/migrate-pubsub-lite-to-pubsub).\n\nThis document describes the access control options for Pub/Sub Lite.\nPub/Sub Lite uses [Identity and Access Management](/iam/docs) for access control.\n\nTo give a user or application access to Pub/Sub Lite resources, grant\nat least one [predefined](#predefined_roles) or [custom](#custom_roles) role to\nthe user or the service account that the application uses. The roles include\npermissions to perform specific actions on Pub/Sub Lite resources.\n\nPredefined roles\n----------------\n\nThe following table lists the predefined roles that give you access to\nPub/Sub Lite resources:\n\nCustom roles\n------------\n\nCustom roles can include any permissions that you specify. You can create custom\nroles that include permissions to perform specific administrative operations,\nlike updating Lite topics or deleting Lite subscriptions. To create custom\nroles, see [Creating and managing custom\nroles](/iam/docs/creating-custom-roles).\n\nThe following table lists examples of custom roles:\n\nGranting roles\n--------------\n\nYou can grant roles to access Pub/Sub Lite resources at the project\nlevel. For example, you can give a service account access to view any Lite topic\nin a project, but you can't give a service account access to view a single Lite topic.\n\nTo grant a role on a project, you can use the Google Cloud console or the\nGoogle Cloud CLI. \n\n### Console\n\nTo grant a role to a user, service account, or other member, follow these\nsteps:\n\n1. In the Google Cloud console, go to the IAM page.\n\n[Go to IAM](https://console.cloud.google.com/iam-admin)\n\n1. Click **Add**.\n\n2. Enter the email address of a user, service account, or other member.\n\n3. Select a role.\n\n4. Click **Save**.\n\n### gcloud\n\nTo grant a role to a user, service account, or other member, run the\n[`gcloud projects\nadd-iam-policy-binding`](/sdk/gcloud/reference/projects/add-iam-policy-binding)\ncommand: \n\n```bash\ngcloud projects add-iam-policy-binding PROJECT_ID \\\n--member=MEMBER \\\n--role=ROLE_ID\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eMEMBER\u003c/var\u003e: an [identifier for the\n member](/iam/docs/reference/rest/v1/Policy#Binding), like `serviceAccount:test123@example.domain.com`\n- \u003cvar translate=\"no\"\u003eROLE_ID\u003c/var\u003e: the name of the [predefined](#predefined_roles) or [custom](#custom_role) role\n\nYou can also get a JSON or YAML file with the current IAM\npolicy, add multiple roles or members to the file, and then update the policy.\nTo read and manage the policy, use the Google Cloud CLI, the IAM API,\nor the IAM. For details, see [Controlling access\nprogrammatically](/iam/docs/granting-changing-revoking-access#programmatic).\n\nWhat's next\n-----------\n\n- Get an [overview of IAM](/iam/docs/overview).\n- Refer to the [authentication methods that Pub/Sub Lite\n supports](/pubsub/lite/docs).\n- Learn more about [managing access to\n resources](/iam/docs/granting-changing-revoking-access)."]]
