Contrôler les accès avec IAM

Lorsque vous créez un projet Google Cloud , vous êtes le seul utilisateur du projet. Par défaut, aucun autre utilisateur n'a accès à votre projet ni à ses ressources. La gestion de l'authentification et des accès (IAM) gère les Google Cloud ressources, comme les clusters. Les autorisations sont attribuées aux comptes principaux IAM.

Cloud IAM vous permet d'attribuer des rôles aux comptes principaux. Un rôle est un ensemble d'autorisations qui, lorsqu'il est attribué à un compte principal, contrôle les accès à une ou plusieurs Google Cloud ressources. Vous pouvez utiliser les types de rôles suivants :

  • Les rôles de base fournissent des autorisations générales limitées au propriétaire, à l'éditeur et au lecteur.
  • Les rôles prédéfinis fournissent un accès plus précis que les rôles de base et traitent de nombreux cas d'utilisation courants.
  • Les rôles personnalisés vous permettent de créer des combinaisons uniques d'autorisations.

Un compte principal peut être l'un des éléments suivants :

  • Compte utilisateur
  • Compte de service
  • Groupe Google Workspace
  • Domaine Google Workspace
  • Domaine Cloud Identity

Types de stratégies IAM

IAM est compatible avec les types de stratégies suivants :

  • Stratégies d'autorisation : attribuez des rôles aux comptes principaux. Pour en savoir plus, consultez la section Stratégies d'autorisation.
  • Stratégies de refus : empêchez les comptes principaux d'utiliser des autorisations IAM spécifiques, quels que soient les rôles qui leur sont attribués. Pour en savoir plus, consultez la section Stratégies de refus.

Utilisez des stratégies de refus pour empêcher des comptes principaux spécifiques d'effectuer des actions spécifiques dans votre projet, dossier ou organisation, même si une stratégie d'autorisation IAM accorde à ces comptes principaux un rôle contenant les autorisations appropriées.

Rôles prédéfinis

IAM fournit des rôles prédéfinis pour accorder un accès précis à des ressources Google Cloud spécifiques et pour empêcher tout accès indésirable à d'autres ressources. Google Cloud crée et gère ces rôles, et met automatiquement à jour leurs autorisations si nécessaire, par exemple lorsque Google Cloud Observability ajoute de nouvelles fonctionnalités.

Les rôles prédéfinis pour Google Cloud Observability contiennent des autorisations pour des fonctionnalités couvrant plusieurs domaines de produits. C'est pourquoi certaines autorisations, comme observability.scopes.get, peuvent être incluses dans des rôles prédéfinis pour ces domaines de produits. Par exemple, le rôle Lecteur de journaux (roles/logging.viewer) inclut l'autorisation observability.scopes.get en plus de nombreuses autorisations spécifiques à la journalisation.

Le tableau suivant répertorie les rôles prédéfinis pour Google Cloud Observability. Pour chaque rôle, le tableau affiche le titre, la description, les autorisations qu'il contient et le type de ressource le plus bas pour lequel les rôles peuvent être accordés. Vous pouvez attribuer les rôles prédéfinis au niveau du projet Google Cloud ou, dans la plupart des cas, à tout type supérieur dans la hiérarchie des ressources.

Pour obtenir la liste de toutes les autorisations individuelles contenues dans un rôle, consultez la section Obtenir les métadonnées du rôle.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

Étape suivante