Contrôle des accès avec IAM

Cette page explique comment accorder et gérer les accès à Service Catalog à l'aide de Cloud Identity and Access Management (Cloud IAM).

Avant de commencer

Qu'est-ce que Cloud Identity and Access Management (Cloud IAM) ?

Google Cloud propose Cloud Identity and Access Management (Cloud IAM), qui vous permet de définir de manière plus précise l'accès à des ressources spécifiques de Google Cloud et d'empêcher tout accès indésirable à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

En définissant des stratégies IAM, vous pouvez contrôler qui (identité) dispose de quelles autorisations d'accès (rôles) à quelles ressources. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un compte principal afin de lui accorder certaines autorisations.

Par exemple, pour une ressource donnée, vous pouvez attribuer le rôle roles/compute.networkAdmin à un compte Google. Celui-ci peut contrôler les ressources réseau du projet, mais pas les autres ressources, comme les instances et les disques.

Rôles IAM pour le catalogue de services

Avec IAM, toutes les méthodes d'API des API Service Catalog et Private Catalog Producer nécessitent que l'identité effectuant la requête API dispose des autorisations appropriées pour utiliser la ressource. Pour accorder des autorisations, vous devez définir des stratégies qui attribuent des rôles à un compte principal, tel qu'un utilisateur, un groupe ou un compte de service. En plus des rôles de base Propriétaire, Éditeur et Lecteur, vous pouvez attribuer les rôles Service Catalog et Private Catalog Producer décrits sur cette page aux comptes principaux.

Les tableaux suivants répertorient les rôles IAM disponibles pour les utilisateurs de Service Catalog. Les tableaux sont organisés en différents rôles.

Administrateur de l'organisation du catalogue

Nom de rôle Description Autorisations associées
roles/cloudprivatecatalogproducer.orgAdmin

Gère les paramètres de Service Catalog au niveau de l'organisation Google Cloud. crée et gère des ressources Service Catalog, telles que des solutions et des catalogues ;

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrateur du catalogue

Nom de rôle Description Autorisations associées
roles/cloudprivatecatalogproducer.admin

Crée et gère des ressources Service Catalog, telles que des solutions et des catalogues.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gestionnaire de catalogues

Nom de rôle Description Autorisations associées
roles/cloudprivatecatalogproducer.manager

Affiche les solutions et les catalogues, et partage les catalogues avec les utilisateurs de Service Catalog.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Client du catalogue

Nom de rôle Description Autorisations associées
roles/cloudprivatecatalog.consumer Parcourt les catalogues. Affiche et lance des solutions. Fonctionne sous une ressource Google Cloud cible, telle qu'une organisation, un projet ou un dossier.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Ajouter des utilisateurs aux rôles IAM Service Catalog

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux rôles IAM Service Catalog. Vous pouvez accorder cette autorisation à un utilisateur ou à un groupe en lui attribuant le rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs se voient attribuer le rôle d'administrateur de catalogue pour pouvoir également ajouter et supprimer des utilisateurs et des groupes des autres rôles IAM Service Catalog, un administrateur de l'organisation peut effectuer les opérations suivantes :

  • Créer un groupe Google pour les utilisateurs (MyCompanyCatalogAdmins)
  • Attribuer le rôle d'administrateur d'organisation au groupe Google (MyCompanyCatalogAdmins)
  • Attribuer le rôle d'administrateur de catalogue au groupe Google (MyCompanyCatalogAdmins).

Dans l'exemple, les membres du groupe Google (MyCompanyCatalogAdmins) peuvent ajouter des utilisateurs et des groupes aux rôles IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le rôle d'administrateur de l'organisation. Lorsque de nouveaux administrateurs de catalogue rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanyCatalogAdmins) pour leur accorder les rôles souhaités.

Pour ajouter un utilisateur, un groupe ou un domaine à un rôle IAM Service Catalog, procédez comme suit :

  1. Connectez-vous à la page IAM et administration de Google Cloud Console en tant qu'administrateur de l'organisation.
    Accéder à la page "IAM et administration" de Cloud Console
  2. Dans le menu latéral, sélectionnez Catalogue privé Cloud.
  3. Sélectionnez le rôle que vous souhaitez attribuer :
    • Administrateur du catalogue
    • Gestionnaire de catalogues
    • Client du catalogue
  4. Spécifiez les utilisateurs, groupes ou domaines à ajouter.

Étapes suivantes