Cette page explique comment créer et déléguer des règles d'accès limitées.
Avant de commencer
Apprenez-en plus sur les règles limitées.
Découvrez comment accorder l'accès à VPC Service Controls.
Assurez-vous que l'administrateur délégué auquel la règle d'accès limitée est déléguée dispose de l'autorisation
cloudasset.assets.searchAllResourcessur le dossier ou le projet auquel la règle d'accès limitée est associée. Cette autorisation est requise par l'administrateur délégué pour effectuer des recherches dans toutes les ressources Google Cloud .Découvrez comment configurer des périmètres de service.
Créer une règle d'accès limitée
Créez une règle d'accès limitée et déléguez l'administration aux dossiers et aux projets de l'organisation. Une fois que vous avez créé une règle d'accès limitée, vous ne pouvez plus en modifier le niveau d'accès. Pour modifier le niveau d'accès d'une règle existante, supprimez-la et recréez-la avec le nouveau niveau d'accès.
Console
Dans le menu de navigation de la Google Cloud console, cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès parente de la règle limitée. Par exemple, vous pouvez sélectionner la règle d'administration
default policy.Cliquez sur Gérer les règles.
Sur la page Gérer VPC Service Controls, cliquez sur Créer.
Sur la page Créer une règle d'accès, saisissez un nom pour la règle d'accès limitée dans le champ Nom de la règle d'accès.
Le nom de la règle d'accès limitée peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_). Le nom de la règle d'accès limitée est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.Pour spécifier un niveau d'accès pour la règle d'accès, cliquez sur Niveaux d'accès.
Spécifiez un projet ou un dossier comme niveau d'accès de la règle d'accès.
Pour sélectionner un projet que vous souhaitez ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un projet.
Dans la boîte de dialogue Ajouter un projet, cochez la case correspondant à ce projet.
Cliquez sur OK. Le projet ajouté apparaît dans la section Niveaux d'accès.
Pour sélectionner un dossier à ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un dossier.
Dans la boîte de dialogue Ajouter des dossiers, cochez la case correspondant à ce dossier.
Cliquez sur OK. Le dossier ajouté apparaît dans la section Niveaux d'accès.
Pour déléguer l'administration de la règle d'accès limitée, cliquez sur Comptes principaux.
Pour spécifier le compte principal et le rôle que vous souhaitez lier à la règle d'accès, procédez comme suit :
Dans le volet Comptes principaux, cliquez sur Ajouter des comptes principaux.
Dans la boîte de dialogue Ajouter des comptes principaux, sélectionnez un compte principal, tel qu'un nom d'utilisateur ou un compte de service.
Sélectionnez le rôle que vous souhaitez associer au compte principal, tel que les rôles d'éditeur ou de lecteur.
Cliquez sur Enregistrer. Le compte principal et le rôle ajoutés apparaissent dans la section Comptes principaux.
Sur la page Créer une règle d'accès, cliquez sur Créer une règle d'accès.
gcloud
Pour créer une règle d'accès limitée, utilisez la commande gcloud access-context-manager policies create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.SCOPE correspond au dossier ou au projet pour lequel la règle est applicable. Vous ne pouvez spécifier qu'un seul dossier ou projet en tant que niveau d'accès. Le niveau d'accès doit exister au sein de l'organisation spécifiée. Si vous ne spécifiez pas de niveau d'accès, la règle s'applique à l'ensemble de l'organisation.
Le résultat suivant s'affiche (où POLICY_NAME est un identifiant numérique unique pour la règle attribué par Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Pour déléguer l'administration en associant un compte principal et un rôle à une règle d'accès limitée, utilisez la commande add-iam-policy-binding.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Où :
POLICY est l'ID de la règle ou l'identifiant complet de la règle.
PRINCIPAL est le compte principal pour lequel vous souhaitez ajouter la liaison. Spécifiez au format suivant :
user|group|serviceAccount:emailoudomain:domain.ROLE est le nom du rôle à attribuer au compte principal. Le nom du rôle correspond au chemin complet d'un rôle prédéfini, tel que
roles/accesscontextmanager.policyEditor, ou à l'ID d'un rôle personnalisé, tel queorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.
API
Pour créer une règle d'accès limitée, procédez comme suit :
Créez un corps de requête.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
Où :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
SCOPE correspond au dossier ou au projet pour lequel la règle est applicable.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible. Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (
_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
Créez la stratégie d'accès en appelant la méthode
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation qui fournit des détails sur l'opération POST.
Pour déléguer l'administration de la règle d'accès limitée, procédez comme suit :
Créez un corps de requête.
{ "policy": "IAM_POLICY", }
Où :
- IAM_POLICY est un ensemble de liaisons. Une liaison associe un ou plusieurs membres, ou comptes principaux, à un seul rôle. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google ou des domaines. Un rôle est une liste nommée d'autorisations. Chaque rôle peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.
Déléguez la règle d'accès en appelant
accessPolicies.setIamPolicy.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse contient une instance de policy.
Étape suivante
- Découvrez comment gérer des périmètres de service existants.