Insights sur la gestion de l'authentification et des accès

Aperçu

Cette page décrit l'insight sur la gestion de l'authentification et des accès (IAM). Les insights IAM peuvent exister de manière autonome ou être associés à des recommandations IAM.

ID du type d'insight

L'ID du type d'insight IAM est le suivant :

google.iam.policy.Insight

Vous pouvez utiliser cet ID lorsque vous affichez et modifiez des insights à l'aide des commandes gcloud ou des API REST et RPC.

Zone

Les commandes gcloud et les API de l'outil de recommandation exigent que vous spécifiez un emplacement pour les insights que vous consultez ou modifiez. Un emplacement est une région, une zone ou une zone multirégionale. Pour les insights de gestion de l'authentification et des accès, utilisez global comme emplacement dans les interactions à l'aide de gcloud et des API.

Autorisations

Pour afficher ou mettre à jour les insights de gestion de l'authentification et des accès, vous devez disposer des autorisations requises.

Autorisations requises

Pour afficher les insights de gestion de l'authentification et des accès :

  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list

Pour modifier les insights de gestion de l'authentification et des accès :

  • recommender.iamPolicyInsights.update

Accorder des autorisations

Pour accorder les autorisations requises pour afficher ou modifier des insights de gestion de l'authentification et des accès, attribuez les rôles comme suit :

  • Pour n'afficher que les insights et les recommandations, attribuez l'un des rôles suivants :
    • Rôle Lecteur de l'outil de recommandation IAM (roles/recommender.iamViewer)
    • Rôle Examinateur de sécurité IAM (roles/iam.securityReviewer)
  • Pour afficher et modifier les insights et les recommandations, attribuez le rôle d'Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin).

Vous pouvez également attribuer les rôles primitifs suivants :

  • Pour afficher des insights seulement, attribuez le rôle de Lecteur (roles/viewer)
  • Pour afficher et modifier des insights, attribuez le rôle de Propriétaire (roles/owner) ou Éditeur (roles/editor).

Sous-types d'insight

Ce type d'insight est compatible avec les sous-types suivants :

  • PERMISSIONS_USAGE : fournit des informations sur l'utilisation des autorisations actives d'un utilisateur.