Rôles et autorisations IAM de VMware Engine

Google Cloud VMware Engine est doté d'un ensemble spécifique de rôles Cloud Identity and Access Management (IAM). Chaque rôle contient un ensemble d'autorisations.

Lorsque vous ajoutez un nouveau membre à votre projet, vous pouvez utiliser une stratégie IAM pour lui attribuer un ou plusieurs rôles IAM. Chaque rôle IAM contient des autorisations qui accordent au membre l'accès aux ressources VMware Engine.

Gérer les accès à VMware Engine

Ce guide explique comment gérer les accès à VMware Engine à l'aide du principe du moindre privilège en accordant l'accès à des ressources parentes spécifiques, telles qu'un projet Google Cloud ou une organisation. Vous accordez l'accès à un projet en définissant une stratégie IAM sur la ressource. La stratégie associe un ou plusieurs membres, tels qu'un utilisateur ou un compte de service, à un ou plusieurs rôles. Chaque rôle contient une liste d'autorisations permettant au membre d'interagir avec la ressource.

Il existe trois types de rôles dans IAM :

  • Les rôles de base qui comprennent les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM.
  • Les rôles prédéfinis fournissent un accès précis à un service spécifique et sont gérés par Google Cloud. Ils sont conçus pour des cas d'utilisation courants et des modèles de contrôle des accès.
  • Les rôles personnalisés assurent un accès précis en fonction d'une liste d'autorisations spécifiée par l'utilisateur.

Autorisations VMware Engine

Le tableau suivant répertorie les autorisations et les descriptions de VMware Engine:

Autorisation Description
vmwareengine.googleapis.com/services.view Accès en lecture au portail et aux ressources VMware Engine*.
vmwareengine.googleapis.com/services.use Accès administrateur au portail et aux ressources VMware Engine

* Un rôle doté de cette autorisation peut également afficher les identifiants de connexion pour vCenter et NSX-T.

Rôles VMware Engine

Le tableau suivant répertorie les rôles et les descriptions de VMware Engine:

Rôle Description
VMware Engine Service Viewer Accès en lecture au portail et aux ressources VMware Engine*.
VMware Engine Service Admin Accès administrateur au portail et aux ressources VMware Engine

* Un rôle doté de cette autorisation peut également afficher les identifiants de connexion pour vCenter et NSX-T.

Rôles de base pour les projets

Par défaut, accorder l'accès à un projet Google Cloud permet également d'accéder aux clouds privés de VMware Engine. Tout utilisateur disposant du rôle d'Owner de projet peut accorder, révoquer ou modifier n'importe quel rôle de ce projet.

Rôle de base Fonctions
Viewer Peut consulter la console VMware Engine, les clouds privés et toutes les ressources. Ce rôle inclut le rôle VMware Engine Service Viewer
Editor Identiques à Viewer, plus :
  • Peut créer, mettre à jour et supprimer toutes les ressources, y compris les ressources réseau et les adresses IP externes. Le rôle Editor peut également créer et ajouter un cloud privé, et ajouter ou supprimer des nœuds dans un cloud privé. Ce rôle inclut le rôle VMware Engine Service Admin.
Owner Identique à Editor.

Accorder ou révoquer l'accès à VMware Engine

Vous accordez l'accès au portail VMware Engine à l'aide de rôles, lesquels sont appliqués aux ressources VMware Engine au niveau du projet. Un rôle ne peut pas être appliqué à un cloud privé individuel si un projet contient plusieurs clouds privés.

Accorder l'accès

Pour ajouter un membre d'équipe à un projet et lui attribuer un rôle VMware Engine, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à la page IAM

  2. Cliquez sur Sélectionner un projet, choisissez un projet et cliquez sur Ouvrir.

  3. Cliquez sur Ajouter.

  4. Saisissez une adresse e-mail. Vous pouvez ajouter des personnes, des comptes de service ou des groupes Google en tant que membres.

  5. Sélectionnez un rôle VMware Engine Service Viewer ou VMware Engine Service Admin en fonction du type d'accès dont l'utilisateur ou le groupe a besoin. Les rôles donnent aux membres un niveau d'autorisation spécifique.

    Pour une sécurité optimale, nous vous recommandons vivement d'accorder le moins de privilèges possible à chaque utilisateur ou groupe. Les membres dotés du rôle Owner (Propriétaire) peuvent gérer tous les aspects des ressources VMware Engine.

  6. Cliquez sur Enregistrer.

Révoquer l'accès

Pour révoquer l'accès d'un utilisateur ou d'un groupe à VMware Engine, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à la page IAM

  2. Cliquez sur Sélectionner un projet, choisissez un projet et cliquez sur Ouvrir.

  3. Recherchez l'utilisateur ou le groupe dont vous souhaitez révoquer l'accès, puis cliquez sur Modifier.

  4. Pour chaque rôle que vous souhaitez révoquer, cliquez sur Supprimer, puis sur Enregistrer.