Contrôle des accès avec IAM

reCAPTCHA propose le contrôle des accès basé sur les rôles (RBAC) avec Identity and Access Management (IAM) et le contrôle des accès pour les API reCAPTCHA à l'aide de VPC Service Controls.

Contrôle des accès basé sur les rôles avec IAM

Le contrôle des accès basé sur les rôles (RBAC) avec IAM est un facteur de différenciation clé entre reCAPTCHA et toutes les versions précédentes de reCAPTCHA. Cloud IAM vous permet de définir de manière précise l'accès à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources, telles que les journaux et les analyses.

Cette section décrit les rôles IAM pour reCAPTCHA.

Pour savoir comment attribuer des rôles IAM à un compte utilisateur ou de service, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation IAM.

Rôles et autorisations

Le tableau suivant répertorie les rôles IAM nécessaires et leurs autorisations pour reCAPTCHA:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

Rôles personnalisés

Vous pouvez avoir besoin de rôles personnalisés pour des cas d'utilisation tels que les exigences réglementaires. Pour créer un rôle personnalisé incluant des autorisations reCAPTCHA, effectuez l'action appropriée comme indiqué dans le tableau suivant:

Description du rôle Action
Rôle n'accordant des autorisations que pour l'API reCAPTCHA Enterprise Sélectionnez l'une des autorisations dans la section Autorisations des API.
Rôle accordant des autorisations pour l'API et la console reCAPTCHA Enterprise Choisissez des groupes d'autorisations dans la section Rôles et autorisations.
Rôle permettant de créer et d'annoter des évaluations Incluez les autorisations du rôle roles/recaptchaenterprise.agent dans la section Rôles et autorisations.

Pour en savoir plus sur les rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés.

Autorisations des API

Le tableau suivant répertorie les autorisations que l'appelant doit avoir pour appeler chaque méthode dans l'API reCAPTCHA Enterprise, recaptchaenterprise.googleapis.com/v1 :

Méthode (REST/RPC) Autorisations requises Type de ressource concerné
recaptchaenterprise.assessments.annotate / AnnotateAssessmentRequest recaptchaenterprise.assessments.annotate projet
recaptchaenterprise.assessments.create / CreateAssessmentRequest recaptchaenterprise.assessments.create project
recaptchaenterprise.keys.create / CreateKeyRequest recaptchaenterprise.keys.create project
recaptchaenterprise.keys.delete / DeleteKeyRequest recaptchaenterprise.keys.delete project
recaptchaenterprise.keys.get / GetKeyRequest recaptchaenterprise.keys.get project
recaptchaenterprise.keys.list / ListKeysRequest recaptchaenterprise.keys.list project
recaptchaenterprise.keys.update / UpdateKeyRequest recaptchaenterprise.keys.update project

VPC Service Controls

VPC Service Controls est compatible avec reCAPTCHA afin de fournir contrôle des accès supplémentaire aux API reCAPTCHA. Pour en savoir plus, consultez la page Produits compatibles et limites > reCAPTCHA Enterprise.