Contr�le des acc�s avec IAM

Cette page explique comment accorder et g�rer les acc�s � Service�Catalog � l'aide de Cloud Identity and Access�Management (Cloud�IAM).

Avant de commencer

Qu'est-ce que Cloud Identity and Access�Management (Cloud�IAM)�?

Google�Cloud propose Cloud Identity and Access�Management (Cloud�IAM), qui vous permet de d�finir de mani�re plus pr�cise l'acc�s � des ressources sp�cifiques de Google�Cloud et d'emp�cher tout acc�s ind�sirable � d'autres ressources. IAM vous permet d'adopter le principe de s�curit� du moindre privil�ge afin de n'accorder que l'acc�s n�cessaire � vos ressources.

En d�finissant des strat�gies IAM, vous pouvez contr�ler qui (identit�) dispose de quelles autorisations d'acc�s (r�les)quelles ressources. Ces strat�gies permettent d'attribuer un ou plusieurs r�les sp�cifiques � un compte principal afin de lui accorder certaines autorisations.

Par exemple, pour une ressource donn�e, vous pouvez attribuer le r�le roles/compute.networkAdmin � un compte Google. Celui-ci peut contr�ler les ressources r�seau du projet, mais pas les autres ressources, comme les instances et les disques.

R�les IAM pour le catalogue de services

Avec IAM, toutes les m�thodes d'API des API Service�Catalog et Private�Catalog Producer n�cessitent que l'identit� effectuant la requ�te API dispose des autorisations appropri�es pour utiliser la ressource. Pour accorder des autorisations, vous devez d�finir des strat�gies qui attribuent des r�les � un compte principal, tel qu'un utilisateur, un groupe ou un compte de service. En plus des r�les de base Propri�taire, �diteur et Lecteur, vous pouvez attribuer les r�les Service�Catalog et Private Catalog�Producer d�crits sur cette page aux comptes principaux.

Les tableaux suivants r�pertorient les r�les IAM disponibles pour les utilisateurs de Service�Catalog. Les tableaux sont organis�s en diff�rents r�les.

Administrateur de l'organisation du catalogue

Nom de r�le Description Autorisations associ�es
roles/cloudprivatecatalogproducer.orgAdmin

G�re les param�tres de Service�Catalog au niveau de l'organisation Google Cloud. cr�e et g�re des ressources Service�Catalog, telles que des solutions et des catalogues ;
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrateur du catalogue

Nom de r�le Description Autorisations associ�es
roles/cloudprivatecatalogproducer.admin

Cr�e et g�re des ressources Service�Catalog, telles que des solutions et des catalogues.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gestionnaire de catalogues

Nom de r�le Description Autorisations associ�es
roles/cloudprivatecatalogproducer.manager

Affiche les solutions et les catalogues, et partage les catalogues avec les utilisateurs de Service�Catalog.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Client du catalogue

Nom de r�le Description Autorisations associ�es
roles/cloudprivatecatalog.consumer Parcourt les catalogues. Affiche et lance des solutions. Fonctionne sous une ressource Google�Cloud cible, telle qu'une organisation, un projet ou un dossier.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Ajouter des utilisateurs aux r�les IAM Service�Catalog

Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux r�les IAM Service�Catalog. Vous pouvez accorder cette autorisation � un utilisateur ou � un groupe en lui attribuant le r�le "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin).

Par exemple, si votre organisation souhaite que les utilisateurs se voient attribuer le r�le d'administrateur de catalogue pour pouvoir �galement ajouter et supprimer des utilisateurs et des groupes des autres r�les IAM Service�Catalog, un administrateur de l'organisation peut effectuer les op�rations suivantes�:

  • Cr�er un groupe Google pour les utilisateurs (MyCompanyCatalogAdmins)
  • Attribuer le r�le d'administrateur d'organisation au groupe Google (MyCompanyCatalogAdmins)
  • Attribuer le r�le d'administrateur de catalogue au groupe Google (MyCompanyCatalogAdmins).

Dans l'exemple, les membres du groupe Google (MyCompanyCatalogAdmins) peuvent ajouter des utilisateurs et des groupes aux r�les IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy avec le r�le d'administrateur de l'organisation. Lorsque de nouveaux administrateurs de catalogue rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanyCatalogAdmins) pour leur accorder les r�les souhait�s.

Pour ajouter un utilisateur, un groupe ou un domaine � un r�le IAM Service�Catalog, proc�dez comme suit�:

  1. Connectez-vous � la page IAM et administration de Google Cloud Console en tant qu'administrateur de l'organisation.
    Acc�der � la page "IAM et administration" de Cloud Console
  2. Dans le menu lat�ral, s�lectionnez Catalogue priv� Cloud.
  3. S�lectionnez le r�le que vous souhaitez attribuer :
    • Administrateur du catalogue
    • Gestionnaire de catalogues
    • Client du catalogue
  4. Sp�cifiez les utilisateurs, groupes ou domaines � ajouter.

�tapes suivantes