Contr�le des acc�s avec IAM
Cette page explique comment accorder et g�rer les acc�s � Service�Catalog � l'aide de Cloud Identity and Access�Management (Cloud�IAM).
Avant de commencer
- Service�Catalog doit �tre activ� pour votre organisation Google�Cloud.
- Pour attribuer des r�les IAM Service�Catalog, vous devez disposer du r�le Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) pour votre organisation Google�Cloud.
Qu'est-ce que Cloud Identity and Access�Management (Cloud�IAM)�?
Google�Cloud propose Cloud Identity and Access�Management (Cloud�IAM), qui vous permet de d�finir de mani�re plus pr�cise l'acc�s � des ressources sp�cifiques de Google�Cloud et d'emp�cher tout acc�s ind�sirable � d'autres ressources. IAM vous permet d'adopter le principe de s�curit� du moindre privil�ge afin de n'accorder que l'acc�s n�cessaire � vos ressources.
En d�finissant des strat�gies IAM, vous pouvez contr�ler qui (identit�) dispose de quelles autorisations d'acc�s (r�les) � quelles ressources. Ces strat�gies permettent d'attribuer un ou plusieurs r�les sp�cifiques � un compte principal afin de lui accorder certaines autorisations.
Par exemple, pour une ressource donn�e, vous pouvez attribuer le r�le roles/compute.networkAdmin
� un compte Google. Celui-ci peut contr�ler les ressources r�seau du projet, mais pas les autres ressources, comme les instances et les disques.
R�les IAM pour le catalogue de services
Avec IAM, toutes les m�thodes d'API des API Service�Catalog et Private�Catalog Producer n�cessitent que l'identit� effectuant la requ�te API dispose des autorisations appropri�es pour utiliser la ressource. Pour accorder des autorisations, vous devez d�finir des strat�gies qui attribuent des r�les � un compte principal, tel qu'un utilisateur, un groupe ou un compte de service. En plus des r�les de base Propri�taire, �diteur et Lecteur, vous pouvez attribuer les r�les Service�Catalog et Private Catalog�Producer d�crits sur cette page aux comptes principaux.
Les tableaux suivants r�pertorient les r�les IAM disponibles pour les utilisateurs de Service�Catalog. Les tableaux sont organis�s en diff�rents r�les.
Administrateur de l'organisation du catalogue
Nom de r�le | Description | Autorisations associ�es |
---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
G�re les param�tres de Service�Catalog au niveau de l'organisation Google Cloud. cr�e et g�re des ressources Service�Catalog, telles que des solutions et des catalogues ; |
|
Administrateur du catalogue
Nom de r�le | Description | Autorisations associ�es |
---|---|---|
roles/cloudprivatecatalogproducer.admin
|
Cr�e et g�re des ressources Service�Catalog, telles que des solutions et des catalogues. |
|
Gestionnaire de catalogues
Nom de r�le | Description | Autorisations associ�es |
---|---|---|
roles/cloudprivatecatalogproducer.manager |
Affiche les solutions et les catalogues, et partage les catalogues avec les utilisateurs de Service�Catalog. |
|
Client du catalogue
Nom de r�le | Description | Autorisations associ�es |
---|---|---|
roles/cloudprivatecatalog.consumer |
Parcourt les catalogues. Affiche et lance des solutions. Fonctionne sous une ressource Google�Cloud cible, telle qu'une organisation, un projet ou un dossier. |
|
Ajouter des utilisateurs aux r�les IAM Service�Catalog
Les utilisateurs, groupes Google et domaines doivent disposer de l'autorisation resourcemanager.organizations.setIamPolicy
au niveau de l'organisation pour pouvoir ajouter des utilisateurs aux r�les IAM Service�Catalog. Vous pouvez accorder cette autorisation � un utilisateur ou � un groupe en lui attribuant le r�le "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin
).
Par exemple, si votre organisation souhaite que les utilisateurs se voient attribuer le r�le d'administrateur de catalogue pour pouvoir �galement ajouter et supprimer des utilisateurs et des groupes des autres r�les IAM Service�Catalog, un administrateur de l'organisation peut effectuer les op�rations suivantes�:
- Cr�er un groupe Google pour les utilisateurs (
MyCompanyCatalogAdmins
) - Attribuer le r�le d'administrateur d'organisation au groupe Google (
MyCompanyCatalogAdmins
) - Attribuer le r�le d'administrateur de catalogue au groupe Google (
MyCompanyCatalogAdmins
).
Dans l'exemple, les membres du groupe Google (MyCompanyCatalogAdmins
) peuvent ajouter des utilisateurs et des groupes aux r�les IAM de l'organisation, car le groupe a obtenu l'autorisation setIamPolicy
avec le r�le d'administrateur de l'organisation. Lorsque de nouveaux administrateurs de catalogue rejoignent l'organisation, ajoutez-les au groupe Google (MyCompanyCatalogAdmins
) pour leur accorder les r�les souhait�s.
Pour ajouter un utilisateur, un groupe ou un domaine � un r�le IAM Service�Catalog, proc�dez comme suit�:
- Connectez-vous � la page IAM et administration de Google Cloud Console en tant qu'administrateur de l'organisation.
Acc�der � la page "IAM et administration" de Cloud Console - Dans le menu lat�ral, s�lectionnez Catalogue priv� Cloud.
- S�lectionnez le r�le que vous souhaitez attribuer :
- Administrateur du catalogue
- Gestionnaire de catalogues
- Client du catalogue
- Sp�cifiez les utilisateurs, groupes ou domaines � ajouter.