Rôles et autorisations IAM de VMware Engine

Lorsque vous ajoutez un membre à votre projet, vous pouvez utiliser une stratégie de gestion de l'authentification et des accès (IAM, Identity and Access Management) pour attribuer à ce membre un ou plusieurs rôles IAM. Chaque rôle IAM contient des autorisations qui accordent au membre l'accès aux ressources VMware Engine.

Ce document met l'accent sur les autorisations IAM pertinentes pour VMware Engine et sur les rôles IAM qui accordent ces autorisations. Pour obtenir une description détaillée des services IAM et de leurs fonctionnalités, consultez les pages Présentation de Google Cloud Identity and Access Management et Accorder, modifier et révoquer les accès à des ressources.

Types de rôles

Vous accordez l'accès à une ressource en définissant une stratégie IAM sur la ressource. La stratégie associe un ou plusieurs membres, tels qu'un utilisateur ou un compte de service, à un ou plusieurs rôles. Chaque rôle contient une liste d'autorisations permettant au membre d'interagir avec la ressource.

Il existe trois types de rôles dans IAM :

  • Les rôles prédéfinis fournissent un accès précis à un service spécifique et sont gérés par Google Cloud. Ils sont conçus pour des cas d'utilisation courants et des modèles de contrôle des accès.
  • Les rôles personnalisés fournissent un accès précis en fonction d'une liste d'autorisations spécifiée par l'utilisateur.
  • Les rôles de base sont des rôles au niveau du projet, qui incluent des autorisations étendues s'appliquant à toutes vos ressources Google Cloud. Les rôles de base comprennent les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM.

Nous vous recommandons d'utiliser un rôle prédéfini ou un rôle personnalisé dans la mesure du possible, car ils incluent des autorisations plus précises qui ne s'appliquent qu'à VMware Engine.

Rôles prédéfinis

Un rôle prédéfini contient un ensemble d'autorisations adaptées à une tâche spécifique. Les autorisations et les rôles spécifiques ne s'appliquent qu'à la Google Cloud CLI et à l'API VMware Engine. Pour afficher la liste complète des rôles prédéfinis pour VMware Engine, consultez la documentation de référence sur les rôles VMware Engine dans la documentation IAM.

Rôles personnalisés

Si les rôles prédéfinis pour VMware Engine ne répondent pas à vos besoins, vous pouvez créer un rôle personnalisé contenant uniquement les autorisations que vous spécifiez. Identifiez les tâches que vous devez effectuer, puis ajoutez au rôle personnalisé les autorisations requises pour chaque tâche.

Pour afficher la liste complète des autorisations pour VMware Engine, accédez à la documentation de référence sur les autorisations, puis recherchez le préfixe vmwareengine.

Pour en savoir plus sur la création d'un rôle personnalisé, consultez la page Créer et gérer les rôles personnalisés.

Accorder ou révoquer l'accès à VMware Engine

Les rôles s'appliquent aux ressources VMware Engine au niveau du projet. Un rôle ne peut pas être appliqué à un cloud privé individuel si un projet contient plusieurs clouds privés.

Accorder l'accès

Pour ajouter un membre d'équipe à un projet et lui attribuer un rôle VMware Engine, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

    Accéder à la page IAM

  2. Cliquez sur Ajouter.

  3. Saisissez une adresse e-mail. Vous pouvez ajouter des personnes, des comptes de service ou des groupes Google en tant que membres.

  4. Sélectionnez le rôle VMware Engine Service Viewer ou VMware Engine Service Admin en fonction du type d'accès dont l'utilisateur ou le groupe a besoin.

  5. Cliquez sur Enregistrer.

Révoquer un accès

Pour supprimer un rôle et les autorisations correspondantes d'un utilisateur ou d'un groupe, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

    Accéder à la page IAM

  2. Recherchez l'utilisateur ou le groupe dont vous souhaitez révoquer l'accès, puis cliquez sur Modifier le membre.

  3. Pour chaque rôle que vous souhaitez révoquer, cliquez sur Supprimer.

  4. Cliquez sur Enregistrer.

Autorisations VMware Engine

Pour afficher la liste complète des autorisations pour VMware Engine, accédez à la documentation de référence sur les autorisations, puis recherchez le préfixe vmwareengine.

Les autorisations permettent aux utilisateurs d'effectuer des actions spécifiques sur les ressources VMware Engine. Vous n'accordez pas directement d'autorisations aux utilisateurs, mais vous leur attribuez des rôles prédéfinis ou des rôles personnalisés auxquels sont associées une ou plusieurs autorisations.