Contrôle des accès (IAM)

Les rôles de gestion de l'authentification et des accès (IAM) indiquent comment utiliser l'API Secret Manager. Vous trouverez ci-dessous la liste des rôles IAM disponibles dans Secret Manager, ainsi que les droits qui leur sont accordés.

Important:Pour utiliser Secret Manager avec des charges de travail exécutées sur Compute Engine ou Google Kubernetes Engine, l'instance ou le nœud sous-jacent doit disposer du champ d'application OAuth cloud-platform (Installation de Python groupée). Pour en savoir plus, consultez la section Accéder à l'API Secret Manager.

Rôle	Autorisations
Administrateur Secret Manager (`roles/secretmanager.admin`) Accès complet permettant d'administrer les ressources du gestionnaire de secrets. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Secret	resourcemanager.projects.get resourcemanager.projects.list secretmanager.*
Accesseur de secrets Secret Manager (`roles/secretmanager.secretAccessor`) Permet d'accéder à la charge utile des secrets. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Secret	resourcemanager.projects.get resourcemanager.projects.list secretmanager.versions.access
Ajouteur de versions de secrets Secret Manager (`roles/secretmanager.secretVersionAdder`) Permet d'ajouter des versions à des secrets existants. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Secret	resourcemanager.projects.get resourcemanager.projects.list secretmanager.versions.add
Gestionnaire de versions de secrets Secret Manager (`roles/secretmanager.secretVersionManager`) Permet de créer et de gérer les versions de secrets existants. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Secret	resourcemanager.projects.get resourcemanager.projects.list secretmanager.versions.add secretmanager.versions.destroy secretmanager.versions.disable secretmanager.versions.enable secretmanager.versions.get secretmanager.versions.list
Lecteur Secret Manager (`roles/secretmanager.viewer`) Permet d'afficher les métadonnées de toutes les ressources du gestionnaire de secrets Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Secret	resourcemanager.projects.get resourcemanager.projects.list secretmanager.locations.* secretmanager.secrets.get secretmanager.secrets.getIamPolicy secretmanager.secrets.list secretmanager.versions.get secretmanager.versions.list

Principe de moindre privilège

Lorsque vous suivez le principe du moindre privilège, vous accordez le niveau minimal d'accès aux ressources nécessaire pour effectuer une tâche donnée. Par exemple, si un principal a besoin d'accéder à un seul secret, ne lui accordez pas l'accès à d'autres secrets ou à tous les secrets du projet ou de l'organisation. Si un compte principal n'a besoin que de lire un secret, n'accordez-lui pas la possibilité de le modifier.

Utilisez IAM pour accorder des rôles et des autorisations IAM au niveau du secret, du projet, du dossier ou de l'organisation Google Cloud. Accordez toujours les autorisations au niveau le plus bas de la hiérarchie des ressources.

Ce tableau présente les capacités effectives d'un compte de service, en fonction du niveau de la hiérarchie des ressources auquel le rôle "Accesseur de secrets" de Secret Manager (roles/secretmanager.secretAccessor) est accordé.

Hiérarchie des ressources	Capacité
Secret	Accéder uniquement à ce secret
Projet	Accéder à tous les secrets du projet
Dossier	Accéder à tous les secrets de tous les projets du dossier
Organisation	Accéder à tous les secrets de tous les projets de l'organisation

Si un compte principal n'a besoin que d'accéder à la valeur d'un seul secret, n'accordez pas à ce compte principal l'autorisation d'accéder à tous les secrets. Par exemple, vous pouvez attribuer le rôle "Accesseur de secrets" de Secret Manager (roles/secretmanager.secretAccessor) à un compte de service sur un seul secret.

Si un compte principal n'a besoin que de gérer un seul secret, n'accordez pas à ce compte principal la possibilité de gérer tous les secrets. Par exemple, vous pouvez attribuer à un compte de service le rôle d'administrateur de secrets (roles/secretmanager.admin) sur un seul secret.

Conditions IAM

Les conditions IAM vous permettent de définir et d'appliquer un contrôle d'accès conditionnel basé sur des attributs à certaines ressources Google Cloud, y compris des ressources Secret Manager.

Dans Secret Manager, vous pouvez appliquer un accès conditionnel en fonction des attributs suivants :

Attributs de date/heure : permettent de définir un accès pouvant expirer, planifié ou à durée limitée aux ressources Secret Manager. Par exemple, vous pouvez autoriser un utilisateur à accéder à un secret jusqu'à une date donnée.
Attributs de ressource : permet de configurer un accès conditionnel en fonction du nom d'une ressource, d'un type de ressource ou des attributs de service d'une ressource. Dans Secret Manager, vous pouvez utiliser les attributs d'un secret et des versions d'un secret pour configurer un accès conditionnel. Par exemple, vous pouvez autoriser un utilisateur à gérer les versions des secrets uniquement pour les secrets commençant par un préfixe spécifique, ou lui permettre d'accéder uniquement à une version spécifique.

Pour en savoir plus sur les conditions IAM, consultez la page Présentation des conditions.

Étape suivante

En savoir plus sur la gestion de l'accès aux secrets.
Apprenez comment appliquer le principe du moindre privilège à la gestion des ressources Secret Manager en créant et en gérant des rôles personnalisés.
En savoir plus sur les conditions IAM.