Ce document décrit les options de contrôle des accès de Pub/Sub Lite. Pub/Sub Lite fait appel à Cloud AM (Cloud Identity and Access Management) pour le contrôle des accès.
Pour autoriser un utilisateur ou une application à accéder aux ressources Pub/Sub Lite, attribuez au moins un rôle prédéfini ou personnalisé au compte de service ou au compte utilisateur utilisé par l'application. Les rôles incluent des autorisations permettant d'effectuer des actions spécifiques sur les ressources Pub/Sub Lite.
Rôles prédéfinis
Le tableau suivant répertorie les rôles prédéfinis qui vous donnent accès aux ressources Pub/Sub Lite :
| Rôle | Titre | Description | Autorisations | |
|---|---|---|---|---|
roles/ |
Administrateur Pub/Sub Lite | Accès complet aux sujets et aux abonnements Lite. |
pubsublite.*
|
|
roles/ |
Éditeur Pub/Sub Lite | Modifier les sujets et les abonnements Lite, publier des messages sur des sujets Lite et recevoir des messages des abonnements Lite |
pubsublite.*
|
|
roles/ |
Publicateur Pub/Sub Lite | Publier des messages sur des sujets Lite. |
pubsublite.topics.getPartitionspubsublite.topics.publishpubsublite.locations.openKafkaStream |
|
roles/ |
Abonné Pub/Sub Lite | Recevoir des messages provenant d'abonnements Lite |
|
|
roles/ |
Lecteur Pub/Sub Lite | Afficher les sujets et les abonnements Lite |
|
Rôles personnalisés
Les rôles personnalisés peuvent inclure toutes les autorisations que vous spécifiez. Vous pouvez créer des rôles personnalisés qui incluent des autorisations permettant d'effectuer des opérations administratives spécifiques, comme mettre à jour des sujets Lite ou supprimer des abonnements Lite. Pour créer des les rôles personnalisés, consultez la page Créer et gérer des rôles.
Le tableau suivant répertorie les exemples de rôles personnalisés :
| Description | Autorisations |
|---|---|
| Créer et gérer des réservations Lite |
|
| Créer et gérer des sujets Lite |
|
| Créer et gérer des abonnements Lite |
|
| Créez des sujets et des abonnements Lite. |
|
| Modifiez les sujets et les abonnements Lite. |
|
| Supprimez les sujets et les abonnements Lite. |
|
Attribuer des rôles
Vous pouvez accorder des rôles pour accéder aux ressources Pub/Sub Lite au niveau du projet. Par exemple, vous pouvez autoriser un compte de service à afficher n'importe quel sujet Lite dans un projet, mais vous ne pouvez pas autoriser un compte de service à afficher un seul sujet Lite.
Pour accorder un rôle sur un projet, vous pouvez utiliser la console Google Cloud ou la Google Cloud CLI.
Console
Pour attribuer un rôle à un utilisateur, un compte de service ou un autre membre, procédez comme suit :
- Dans la console Google Cloud, accédez à la page IAM.
Cliquez sur Ajouter.
Saisissez l'adresse e-mail d'un utilisateur, d'un compte de service ou d'un autre membre.
Choisissez un rôle.
Cliquez sur Save.
gcloud
Pour accorder un rôle à un utilisateur, un compte de service ou un autre membre, exécutez la commande gcloud projects
add-iam-policy-binding :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
Remplacez les éléments suivants :
- MEMBER : identifiant du membre, par exemple
serviceAccount:test123@example.domain.com - ROLE_ID: le nom des classes prédéfinies ou rôle personnalisé
Vous pouvez également obtenir un fichier JSON ou YAML avec la stratégie Cloud IAM actuelle, ajouter plusieurs rôles ou membres au fichier, puis mettre à jour la stratégie. Pour lire et gérer la stratégie, utilisez la Google Cloud CLI, l'API IAM ou IAM. Pour en savoir plus, consultez la section Contrôler l'accès de manière automatisée.
Étape suivante
- Obtenez une présentation de Cloud IAM.
- Consultez les méthodes d'authentification compatibles avec Pub/Sub Lite.
- En savoir plus sur la gestion de l'accès aux ressources