Ce document décrit les options de contrôle des accès de Pub/Sub Lite. Pub/Sub Lite fait appel à Cloud AM (Cloud Identity and Access Management) pour le contrôle des accès.
Pour autoriser un utilisateur ou une application à accéder aux ressources Pub/Sub Lite, attribuez au moins un rôle prédéfini ou personnalisé au compte de service ou au compte utilisateur utilisé par l'application. Les rôles incluent des autorisations permettant d'effectuer des actions spécifiques sur les ressources Pub/Sub Lite.
Rôles prédéfinis
Le tableau suivant répertorie les rôles prédéfinis qui vous donnent accès aux ressources Pub/Sub Lite :
| Rôle | Titre | Description | Permissions | |
|---|---|---|---|---|
roles/ |
Administrateur Pub/Sub LiteBêta | Accès complet aux sujets et aux abonnements Lite. |
pubsublite.*
|
|
roles/ |
Éditeur Pub/Sub LiteBêta | Modifier les sujets et les abonnements Lite, publier des messages sur des sujets Lite et recevoir des messages des abonnements Lite |
pubsublite.*
|
|
roles/ |
Éditeur Pub/Sub LiteBêta | Publier des messages sur des sujets Lite. |
pubsublite.topics.publish
|
|
roles/ |
Abonné Pub/Sub LiteBêta | Recevoir des messages provenant d'abonnements Lite |
|
|
roles/ |
Lecteur Pub/Sub LiteBêta | Afficher les sujets et les abonnements Lite |
|
Rôles personnalisés
Les rôles personnalisés peuvent inclure toutes les autorisations que vous spécifiez. Vous pouvez créer des rôles personnalisés qui incluent des autorisations permettant d'effectuer des opérations administratives spécifiques, comme mettre à jour des sujets Lite ou supprimer des abonnements Lite. Pour créer des rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés.
Le tableau suivant répertorie les exemples de rôles personnalisés :
| Description | Permissions |
|---|---|
| Créer et gérer des sujets Lite |
|
| Créer et gérer des abonnements Lite |
|
| Créez des sujets et des abonnements Lite. |
|
| Modifiez les sujets et les abonnements Lite. |
|
| Supprimez les sujets et les abonnements Lite. |
|
Attribuer des rôles
Vous pouvez accorder des rôles pour accéder aux ressources Pub/Sub Lite au niveau du projet. Par exemple, vous pouvez autoriser un compte de service à afficher n'importe quel sujet Lite dans un projet, mais vous ne pouvez pas autoriser un compte de service à afficher un seul sujet Lite.
Pour accorder un rôle sur un projet, vous pouvez utiliser Cloud Console ou l'outil de ligne de commande gcloud.
Console
Pour attribuer un rôle à un utilisateur, un compte de service ou un autre membre, procédez comme suit :
Dans Cloud Console, accédez à la page "Cloud IAM".
Cliquez sur Ajouter.
Saisissez l'adresse e-mail d'un utilisateur, d'un compte de service ou d'un autre membre.
Choisissez un rôle.
Cliquez sur Save.
gcloud
Pour accorder un rôle à un utilisateur, un compte de service ou un autre membre, exécutez la commande gcloud projects add-iam-policy-binding :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
Remplacez l'élément suivant :
- MEMBER : identifiant du membre, par exemple
serviceAccount:test123@example.domain.com - ROLE_ID : nom du rôle prédéfini ou personnalisé
Vous pouvez également obtenir un fichier JSON ou YAML avec la stratégie Cloud IAM actuelle, ajouter plusieurs rôles ou membres au fichier, puis mettre à jour la stratégie.
Pour lire et gérer la stratégie, utilisez l'outil de ligne de commande gcloud, l'API Cloud IAM ou Cloud IAM. Pour en savoir plus, consultez la page Contrôler l'accès de manière automatisée.
Étape suivante
- Obtenez une présentation de Cloud IAM.
- Consultez les méthodes d'authentification compatibles avec Pub/Sub Lite.
- Apprenez-en davantage sur la gestion de l'accès aux ressources.