Par défaut, tous les projets Google Cloud sont configurés avec un seul utilisateur : le créateur du projet d'origine. Aucune autre personne n'a accès au projet (et par conséquent aux ressources BigLake) tant qu'un utilisateur n'est pas ajouté comme membre de l'équipe du projet ou associé à une ressource spécifique.
Cette page explique comment ajouter des utilisateurs à votre projet et définir le contrôle des accès pour vos ressources BigLake.
Qu'est-ce qu'IAM ?
Identity and Access Management (IAM) est une solution proposée parGoogle Cloud qui vous permet d'attribuer un accès précis à des ressources Google Cloud spécifiques et empêche tout accès non souhaité à d'autres ressources. Identity and Access Management (IAM) vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
En définissant des stratégies IAM, vous pouvez également contrôler qui (une identité) dispose de quelles autorisations (rôles) pour quelles ressources. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un membre du projet, et ainsi d'accorder à cette identité certaines autorisations. Par exemple, pour une ressource donnée, telle qu'un projet, vous pouvez attribuer le rôle roles/biglake.admin à un compte Google. Celui-ci peut contrôler les ressources BigLake dans le projet, mais ne peut pas gérer d'autres ressources. IAM permet également de gérer les rôles Basic accordés aux membres de l'équipe de projet.
Options de contrôle des accès pour les utilisateurs
Pour permettre à des utilisateurs de créer et de gérer vos ressources BigLake, vous pouvez les ajouter en tant que membres d'une équipe à votre projet ou à des ressources spécifiques, et leur accorder des autorisations à l'aide de rôles IAM.
Un membre d'équipe peut désigner un utilisateur spécifique disposant d'un compte Google valide, un groupe Google, un compte de service ou un domaine Google Workspace. Lorsque vous ajoutez un membre d'équipe à un projet ou à une ressource, vous spécifiez les rôles à lui attribuer. IAM propose trois types de rôles : les rôles prédéfinis, les rôles de base et les rôles personnalisés.
Pour afficher la liste des fonctionnalités de chaque rôle BigLake et les méthodes d'API auxquelles un rôle spécifique donne accès, consultez Rôles IAM BigLake.
Pour les autres types de membres, tels que les comptes de service et les groupes, consultez la documentation de référence sur les liaisons de stratégie.
Comptes de service
Lorsque vous appelez les API BigLake pour effectuer des actions dans le projet où se trouve votre service, BigLake effectue ces actions en votre nom à l'aide d'un compte de service d'agent de service qui dispose des autorisations requises.
Le compte de service suivant dispose des autorisations requises pour effectuer des actions BigLake dans le projet où se trouve votre service :
blirc-PROJECT_NUMBER-IDENTIFIER@gcp-sa-biglakerestcatalog.iam.gserviceaccount.com.
Ce compte de service se voit attribuer le rôle roles/biglake.serviceAgent sur votre projet.
Stratégies IAM pour les ressources
Vous pouvez accorder l'accès aux ressources BigLake en associant directement des stratégies IAM à ces ressources, telles qu'un service BigLake. Une stratégie IAM vous permet de gérer des rôles IAM sur ces ressources au lieu ou en complément des rôles que vous gérez au niveau du projet. Vous êtes ainsi libre d'appliquer le principe du moindre privilège, qui consiste à restreindre l'accès aux seules ressources spécifiques dont les collaborateurs ont besoin pour effectuer leur travail.
Les ressources héritent également des stratégies de leurs ressources parentes. Si vous définissez une stratégie au niveau du projet, elle est héritée par toutes les ressources enfants. La stratégie applicable à une ressource combine la stratégie définie pour celle-ci et la stratégie héritée des niveaux supérieurs de la hiérarchie. Pour en savoir plus, consultez la hiérarchie des stratégies IAM.
Vous pouvez obtenir et définir des stratégies IAM à l'aide de la console Google Cloud , de l'API Identity and Access Management ou de la Google Cloud CLI.
- Pour la console Google Cloud , consultez Contrôle des accès via la console Google Cloud .
- Pour l'API, consultez Contrôle d'accès via les API.
- Pour Google Cloud CLI, consultez Contrôle des accès via Google Cloud CLI.
Étapes suivantes
- Obtenez plus d'informations sur les rôles IAM.
- Découvrez comment définir des règles au niveau d'un projet.