Contrôle des accès avec IAM
Cette page explique comment accorder et gérer les accès à Service Catalog à l'aide de Cloud Identity and Access Management (Cloud IAM).
Avant de commencer
- Service Catalog doit être activé pour votre organisation Google Cloud.
- Pour attribuer des rôles IAM Service Catalog, vous devez disposer du rôle Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) pour votre organisation Google Cloud.
Qu'est-ce que Cloud Identity and Access Management (Cloud IAM) ?
Google Cloud propose Cloud Identity and Access Management (Cloud IAM), qui vous permet de définir de manière plus précise l'accès à des ressources spécifiques de Google Cloud et d'empêcher tout accès indésirable à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
En définissant des stratégies IAM, vous pouvez contrôler qui (identité) dispose de quelles autorisations d'accès (rôles) à quelles ressources. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal afin de lui accorder certaines autorisations.
Par exemple, pour une ressource donnée, vous pouvez attribuer le rôle roles/compute.networkAdmin
à un compte Google. Celui-ci peut contrôler les ressources réseau du projet, mais pas les autres ressources, comme les instances et les disques.
Rôles IAM pour le catalogue de services
Avec IAM, toutes les méthodes d'API des API Service Catalog et Private Catalog Producer nécessitent que l'identité effectuant la requête API dispose des autorisations appropriées pour utiliser la ressource. Pour accorder des autorisations, vous devez définir des stratégies qui attribuent des rôles à un compte principal, tel qu'un utilisateur, un groupe ou un compte de service. En plus des rôles de base Propriétaire, Éditeur et Lecteur, vous pouvez attribuer les rôles Service Catalog et Private Catalog Producer décrits sur cette page aux comptes principaux.
Les tableaux suivants répertorient les rôles IAM disponibles pour les utilisateurs de Service Catalog. Les tableaux sont organisés en différents rôles.
Administrateur de l'organisation du catalogue
Nom de rôle | Description | Autorisations associées |
---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
Gère les paramètres de Service Catalog au niveau de l'organisation Google Cloud. crée et gère des ressources Service Catalog, telles que des solutions et des catalogues ; |
|
Administrateur du catalogue
Nom de rôle | Description | Autorisations associées |
---|---|---|
roles/cloudprivatecatalogproducer.admin
|
Crée et gère des ressources Service Catalog, telles que des solutions et des catalogues. |
|
Gestionnaire de catalogues
Nom de rôle | Description | Autorisations associées |
---|---|---|
roles/cloudprivatecatalogproducer.manager |
Affiche les solutions et les catalogues, et partage les catalogues avec les utilisateurs de Service Catalog. |
|
Client du catalogue
Nom de rôle | Description | Autorisations associées |
---|---|---|
roles/cloudprivatecatalog.consumer |
Parcourt les catalogues. Affiche et lance des solutions. Fonctionne sous une ressource Google Cloud cible, telle qu'une organisation, un projet ou un dossier. |
|
Ajouter des utilisateurs aux rôles IAM Service Catalog
Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy
au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles IAM Service Catalog. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin
).
Par exemple, si votre organisation souhaite que les utilisateurs se voient attribuer le rôle d'administrateur de catalogue pour pouvoir également ajouter et supprimer des utilisateurs et des groupes des autres rôles IAM Service Catalog, un administrateur de l'organisation peut effectuer les opérations suivantes :
- Créer un groupe Google pour les utilisateurs (
MyCompanyCatalogAdmins
) - Attribuer le rôle d'administrateur d'organisation au groupe Google (
MyCompanyCatalogAdmins
) - Attribuer le rôle d'administrateur de catalogue au groupe Google (
MyCompanyCatalogAdmins
).
Dans l'exemple, les membres du groupe Google (MyCompanyCatalogAdmins
) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy
avec le rôle d'administrateur de l'organisation. Lorsque de nouveaux administrateurs de catalogue rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanyCatalogAdmins
) pour leur accorder les rôles souhaités.
Pour ajouter un utilisateur, un groupe ou un domaine à un rôle IAM Service Catalog, procédez comme suit :
- Connectez-vous à la page IAM et administration de Google Cloud Console en tant qu'administrateur de l'organisation.
Accéder à la page "IAM et administration" de Cloud Console - Dans le menu latéral, sélectionnez Catalogue privé Cloud.
- Sélectionnez le rôle que vous souhaitez attribuer :
- Administrateur du catalogue
- Gestionnaire de catalogues
- Client du catalogue
- Spécifiez les utilisateurs, groupes ou domaines à ajouter.