Créer une règle d'accès limité

Cette page explique comment créer et déléguer des règles d'accès limitées.

Avant de commencer

Apprenez-en plus sur les règles limitées.
Découvrez comment accorder l'accès à VPC Service Controls.

Remarque :Le contrôle des accès pour les règles définies est indépendant des projets ou des dossiers de leurs champs d'application. Toutes les autorisations Access Context Manager accordées sur des dossiers ou des projets n'ont aucun effet sur les règles délimitées, car les autorisations ne peuvent être accordées qu'au niveau de l'organisation ou sur des stratégies individuelles.
Assurez-vous que l'administrateur délégué auquel la règle d'accès limitée est déléguée dispose de l'autorisation cloudasset.assets.searchAllResources sur le dossier ou le projet auquel la règle d'accès est liée. Cette autorisation est requise par l'administrateur délégué pour effectuer une recherche dans toutes les ressources Google Cloud.
Découvrez comment configurer des périmètres de service.

Créer une règle d'accès limitée

Créez une règle d'accès limitée et déléguez l'administration aux dossiers et aux projets de l'organisation. Une fois que vous avez créé une règle d'accès limitée, vous ne pouvez plus en modifier le niveau d'accès. Pour modifier le niveau d'accès d'une règle existante, supprimez-la et recréez-la avec le nouveau niveau d'accès.

Console

Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès parente de la règle limitée. Par exemple, vous pouvez sélectionner la règle d'administration default policy.
Cliquez sur Gérer les règles.
Sur la page Gérer VPC Service Controls, cliquez sur Créer.
Sur la page Créer une règle d'accès, saisissez un nom pour la règle d'accès limitée dans le champ Nom de la règle d'accès.

Le nom de la règle d'accès limitée peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le nom de la règle d'accès limitée est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
Pour spécifier un niveau d'accès pour la règle d'accès, cliquez sur Niveaux d'accès.
Spécifiez un projet ou un dossier comme niveau d'accès de la règle d'accès.
- Pour sélectionner un projet que vous souhaitez ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
  1. Dans le volet Niveaux d'accès, cliquez sur Ajouter un projet.
  2. Dans la boîte de dialogue Ajouter un projet, cochez la case correspondant à ce projet.
  3. Cliquez sur OK. Le projet ajouté apparaît dans la section Niveaux d'accès.
- Pour sélectionner un dossier à ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
  1. Dans le volet Niveaux d'accès, cliquez sur Ajouter un dossier.
  2. Dans la boîte de dialogue Ajouter des dossiers, cochez la case correspondant à ce dossier.
  3. Cliquez sur OK. Le dossier ajouté apparaît dans la section Niveaux d'accès.
Pour déléguer l'administration de la règle d'accès limitée, cliquez sur Comptes principaux.
Pour spécifier le compte principal et le rôle que vous souhaitez lier à la règle d'accès, procédez comme suit :
1. Dans le volet Comptes principaux, cliquez sur Ajouter des comptes principaux.
2. Dans la boîte de dialogue Ajouter des comptes principaux, sélectionnez un compte principal, tel qu'un nom d'utilisateur ou un compte de service.
3. Sélectionnez le rôle que vous souhaitez associer au compte principal, tel que les rôles d'éditeur ou de lecteur.
4. Cliquez sur Enregistrer. Le compte principal et le rôle ajoutés apparaissent dans la section Comptes principaux.
Sur la page Créer une règle d'accès, cliquez sur Créer une règle d'accès.

gcloud

Pour créer une règle d'accès limitée, utilisez la commande gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Où :

ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
SCOPE correspond au dossier ou au projet pour lequel la règle est applicable. Vous ne pouvez spécifier qu'un seul dossier ou projet en tant que niveau d'accès. Le niveau d'accès doit exister au sein de l'organisation spécifiée. Si vous ne spécifiez pas de niveau d'accès, la règle s'applique à l'ensemble de l'organisation.

Le résultat suivant s'affiche (où POLICY_NAME est un identifiant numérique unique de la règle attribué par Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Pour déléguer l'administration en associant un compte principal et un rôle à une règle d'accès limitée, utilisez la commande add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Où :

POLICY est l'ID de la règle ou l'identifiant complet de la règle.
PRINCIPAL est le compte principal pour lequel vous souhaitez ajouter la liaison. Spécifiez au format suivant : user|group|serviceAccount:email ou domain:domain.
ROLE est le nom du rôle à attribuer au compte principal. Le nom du rôle correspond au chemin complet d'un rôle prédéfini, tel que roles/accesscontextmanager.policyEditor, ou à l'ID d'un rôle personnalisé, tel que organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Pour créer une règle d'accès limitée, procédez comme suit :

Créez un corps de requête.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Où :
- ORGANIZATION_ID est l'identifiant numérique de votre organisation.
- SCOPE correspond au dossier ou au projet pour lequel la règle est applicable.
- POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
Créez la stratégie d'accès en appelant la méthode accessPolicies.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

Corps de la réponse

Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation qui fournit des détails sur l'opération POST.

Pour déléguer l'administration de la règle d'accès limitée, procédez comme suit :

Créez un corps de requête.
```
{
 "policy": "IAM_POLICY",
}
```
Où :
- IAM_POLICY est un ensemble de liaisons. Une liaison associe un ou plusieurs membres, ou comptes principaux, à un seul rôle. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google ou des domaines. Un rôle est une liste nommée d'autorisations. Chaque rôle peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.
Déléguez la règle d'accès en appelant accessPolicies.setIamPolicy.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

Corps de la réponse

Si la requête aboutit, le corps de la réponse contient une instance de policy.

Étapes suivantes

Découvrez comment gérer des périmètres de service existants.