Contrôler les accès à l'aide d'IAM

Cloud Tasks utilise Identity and Access Management (IAM) pour effectuer le contrôle des accès.

Le contrôle des accès peut être configuré au niveau du projet et au niveau de la file d'attente. Par exemple, vous pouvez accorder un accès avec des fonctionnalités restreintes, permettant de créer et d'ajouter des tâches à une file d'attente, mais pas de supprimer cette dernière. Vous pouvez également accorder à un groupe de développeurs l'accès à toutes les ressources Cloud Tasks au sein d'un projet.

Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM. Consultez en particulier la section Gérer l'accès aux projets, aux dossiers et aux organisations.

Quelle que soit la méthode Cloud Tasks employée, l'appelant doit disposer des autorisations requises. Vous trouverez ci-dessous la liste des autorisations et des rôles disponibles. Les autorisations IAM de Cloud Tasks sont également vérifiées lorsque queue.yaml/xml est mis à jour ou lorsque la console Google Cloud est utilisée.

Rôles

Le tableau suivant répertorie les rôles IAM pour Cloud Tasks, ainsi que la liste de toutes les autorisations incluses dans chaque rôle. Notez que chaque autorisation est applicable à un type de ressource particulier.

Rôles Cloud Tasks
Rôle Autorisations

(roles/cloudtasks.admin)

Accès complet aux files d'attente et aux tâches.

cloudtasks.*

  • cloudtasks.cmekConfig.get
  • cloudtasks.cmekConfig.update
  • cloudtasks.locations.get
  • cloudtasks.locations.list
  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update
  • cloudtasks.tasks.create
  • cloudtasks.tasks.delete
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • cloudtasks.tasks.run

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.enqueuer)

Accès permettant de créer des tâches.

cloudtasks.tasks.create

cloudtasks.tasks.fullView

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.queueAdmin)

Accès administrateur aux files d'attente.

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.*

  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.taskDeleter)

Accès permettant de supprimer des tâches.

cloudtasks.tasks.delete

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.taskRunner)

Accès permettant d'exécuter des tâches.

cloudtasks.tasks.fullView

cloudtasks.tasks.run

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.viewer)

Rôle permettant d'accéder aux tâches, aux files d'attente et aux emplacements, et de les répertorier.

cloudtasks.cmekConfig.get

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.get

cloudtasks.queues.list

cloudtasks.tasks.fullView

cloudtasks.tasks.get

cloudtasks.tasks.list

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list