Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer des stratégies IAM

Cette page explique comment configurer des stratégies IAM (Identity and Access Management) qui permettent aux membres de créer et de gérer des ressources Certificate Authority Service. Pour en savoir plus sur IAM, consultez la présentation d'IAM.

Stratégies IAM générales

Dans CA Service, vous attribuez des rôles IAM à des utilisateurs ou à des comptes de service pour créer et gérer des ressources CA Service. Vous pouvez ajouter ces liaisons de rôle aux niveaux suivants :

Au niveau du pool d'autorités de certification, pour gérer l'accès à un pool d'autorités de certification spécifique et aux autorités de certification de ce pool.
Au niveau du projet ou de l'organisation, pour accorder l'accès à tous les pools d'autorités de certification de cette portée.

Les rôles sont hérités s'ils sont attribués à un niveau de ressource supérieur. Par exemple, un utilisateur auquel le rôle d'auditeur (roles/privateca.auditor) est attribué au niveau du projet peut afficher toutes les ressources du projet. Les stratégies IAM définies sur un pool d'autorités de certification sont héritées par toutes les autorités de certification de ce pool.

Les rôles IAM ne peuvent pas être attribués aux certificats ni aux ressources d'autorités de certification.

Stratégies IAM conditionnelles

Si vous disposez d'un pool d'autorités de certification partagé qui peut être utilisé par plusieurs utilisateurs autorisés à demander différents types de certificats, vous pouvez définir des conditions IAM pour appliquer un accès basé sur les attributs afin d'effectuer certaines opérations sur un pool d'autorités de certification.

Les liaisons de rôle conditionnelles IAM vous permettent de n'accorder l'accès aux comptes principaux que si les conditions spécifiées sont remplies. Par exemple, si le rôle de demandeur de certificat est lié à l'utilisateur alice@example.com sur un pool d'autorités de certification avec la condition que les SAN DNS demandés soient un sous-ensemble de ['alice@example.com', 'bob@example.com'], cet utilisateur ne peut demander des certificats au même pool d'autorités de certification que si le SAN demandé est l'une de ces deux valeurs autorisées. Vous pouvez définir des conditions sur les liaisons IAM à l'aide d'expressions CEL (Common Expression Language). Ces conditions peuvent vous aider à limiter davantage le type de certificats qu'un utilisateur peut demander. Pour en savoir plus sur l'utilisation des expressions CEL pour les conditions IAM, consultez la section Dialecte CEL (Common Expression Language) pour les stratégies IAM.

Avant de commencer

Activez l'API.
Créez une autorité de certification et un pool d'autorités de certification en suivant les instructions de l'un des guides de démarrage rapide.
Découvrez les IAM rôles disponibles pour Certificate Authority Service.

Configurer des liaisons de stratégie IAM au niveau du projet

Les scénarios suivants décrivent comment accorder aux utilisateurs l'accès aux ressources CA Service au niveau du projet.

Gérer les ressources

Un administrateur CA Service (roles/privateca.admin) dispose des autorisations nécessaires pour gérer toutes les ressources CA Service et définir des stratégies IAM sur les pools d'autorités de certification et les modèles de certificat.

Pour attribuer le rôle d'administrateur CA Service (roles/privateca.admin) à un utilisateur au niveau du projet, procédez comme suit :

Console

Dans la Google Cloud console, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur CA Service.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Remplacez les éléments suivants :

PROJECT_ID : identifiant unique du projet
MEMBER : utilisateur ou compte de service auquel vous souhaitez attribuer le rôle d'administrateur CA Service

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Créer des ressources

Un responsable des opérations CA Service (roles/privateca.caManager) peut créer, mettre à jour et supprimer des pools d'autorités de certification et des autorités de certification. Ce rôle permet également à l'appelant de révoquer les certificats émis par les autorités de certification du pool d'autorités de certification.

Pour attribuer le rôle de responsable des opérations CA Service (roles/privateca.caManager) à un utilisateur au niveau du projet, procédez comme suit :

Console

Dans la Google Cloud console, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Responsable des opérations CA Service.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Remplacez les éléments suivants :

PROJECT_ID : identifiant unique du projet
MEMBER : utilisateur ou compte de service auquel vous souhaitez ajouter le rôle IAM

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud projects add-iam-policy-binding, consultez la section gcloud projects add-iam-policy-binding.

Si vous créez une autorité de certification à l'aide d'une clé Cloud KMS existante, l'appelant doit également être administrateur de la clé Cloud KMS.

L'administrateur Cloud KMS (roles/cloudkms.admin) dispose d'un accès complet à toutes les ressources Cloud KMS, à l'exception des opérations de chiffrement et de déchiffrement. Pour en savoir plus sur les rôles IAM pour Cloud KMS, consultez la section Cloud KMS : autorisations et rôles.

Pour attribuer le rôle d'administrateur Cloud KMS (roles/cloudkms.admin) à un utilisateur, procédez comme suit :

Console

Dans la Google Cloud console, accédez à la page Cloud Key Management Service.

Accéder à Cloud Key Management Service
Sous Trousseaux de clés, cliquez sur le trousseau de clés contenant la clé de signature de l'autorité de certification.
Cliquez sur la clé qui correspond à la clé de signature de l'autorité de certification.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur Cloud KMS.
Cliquez sur Enregistrer.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Remplacez les éléments suivants :

KEY: identifiant unique de la clé
KEYRING : trousseau de clés contenant la clé. Pour en savoir plus sur les trousseaux de clés, consultez la section Trousseaux de clés.
MEMBER : utilisateur ou compte de service auquel vous souhaitez ajouter la liaison IAM

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud kms keys add-iam-policy-binding, consultez la section gcloud kms keys add-iam-policy-binding.

Auditer les ressources

Un auditeur CA Service (roles/privateca.auditor) dispose d'un accès en lecture à toutes les ressources de CA Service. Lorsqu'il est accordé pour un pool d'autorités de certification spécifique, il accorde un accès en lecture au pool d'autorités de certification. Si le pool d'autorités de certification se trouve au niveau Enterprise, l'utilisateur disposant de ce rôle peut également afficher les certificats et les LCR émis par les autorités de certification du pool d'autorités de certification. Attribuez ce rôle aux personnes chargées de valider la sécurité et les opérations du pool d'autorités de certification.

Pour attribuer le rôle d'auditeur CA Service (roles/privateca.auditor) à un utilisateur au niveau du projet, procédez comme suit :

Console

Dans la Google Cloud console, accédez à la page IAM.

Accéder à Identity and Access Management
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Auditeur CA Service.
Cliquez sur Enregistrer.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Remplacez les éléments suivants :

PROJECT_ID : identifiant unique du projet
MEMBER : identifiant unique de l'utilisateur auquel vous souhaitez attribuer le rôle d'auditeur CA Service (roles/privateca.auditor)

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Configurer des liaisons de stratégie IAM au niveau de la ressource

Cette section explique comment configurer des liaisons de stratégie IAM pour une ressource particulière dans CA Service.

Gérer des pools d'autorités de certification

Vous pouvez attribuer le rôle d'administrateur CA Service (roles/privateca.admin) au niveau de la ressource pour gérer un pool d'autorités de certification ou un modèle de certificat spécifique.

Console

Dans la Google Cloud console, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Administrateur CA Service.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource du pool d'autorités de certification.

gcloud

Pour définir la stratégie IAM, exécutez la commande suivante :

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Remplacez les éléments suivants :

POOL_ID : identifiant unique du pool d'autorités de certification pour lequel vous souhaitez définir la stratégie IAM
LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : utilisateur ou compte de service auquel vous souhaitez attribuer le rôle IAM

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding, consultez la section gcloud privateca pools add-iam-policy-binding.

Suivez les mêmes étapes pour attribuer le rôle Administrateur CA Service sur un modèle de certificat.

Vous pouvez également attribuer le rôle de responsable des opérations CA Service (roles/privateca.caManager) sur un pool d'autorités de certification spécifique. Ce rôle permet à l'appelant de révoquer les certificats émis par les autorités de certification de ce pool d'autorités de certification.

Console

Dans la Google Cloud console, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Responsable des opérations CA Service.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource du pool d'autorités de certification auquel appartient l'autorité de certification.

gcloud

Pour attribuer le rôle à un pool d'autorités de certification spécifique, exécutez la commande gcloud suivante :

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Remplacez les éléments suivants :

POOL_ID : identifiant unique du pool d'autorités de certification
LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : identifiant unique de l'utilisateur auquel vous souhaitez attribuer le rôle de responsable des opérations CA Service (roles/privateca.caManager)

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Pour en savoir plus sur la commande gcloud privateca pools add-iam-policy-binding, consultez la section gcloud privateca pools add-iam-policy-binding.

Créer des certificats

Attribuez le rôle de gestionnaire de certificats CA Service (roles/privateca.certificateManager) aux utilisateurs pour leur permettre d'envoyer des demandes d'émission de certificats à un pool d'autorités de certification. Ce rôle donne également un accès en lecture aux ressources CA Service. Pour n'autoriser que la création de certificats sans accès en lecture, attribuez le rôle de demandeur de certificat de l'autorité de certification Service (roles/privateca.certificateRequester). Pour en savoir plus sur les rôles IAM pour CA Service, consultez la section Contrôle des accès avec IAM.

Pour accorder à l'utilisateur l'accès à la création de certificats pour une autorité de certification spécifique, procédez comme suit.

Console

Dans la Google Cloud console, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur Gestionnaire de pool d'autorités de certification, puis sélectionnez le pool d'autorités de certification pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Gestionnaire de certificats CA Service.
Cliquez sur Enregistrer. Le rôle sélectionné est attribué au compte principal sur la ressource du pool d'autorités de certification auquel appartient l'autorité de certification.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Remplacez les éléments suivants :

POOL_ID : identifiant unique du pool d'autorités de certification
LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : identifiant unique de l'utilisateur auquel vous souhaitez attribuer le rôle de Certificate Manager CA Service (roles/privateca.certificateManager)

L'option --role spécifie le rôle IAM que vous souhaitez attribuer au membre.

Ajouter des liaisons de stratégie IAM à un modèle de certificat

Pour ajouter une stratégie IAM à un modèle de certificat particulier, procédez comme suit :

Console

Dans la Google Cloud console, accédez à la page Certificate Authority Service.

Accéder à Certificate Authority Service
Cliquez sur l'onglet Gestionnaire de modèles, puis sélectionnez le modèle de certificat pour lequel vous souhaitez accorder des autorisations.
Si le panneau d'informations n'est pas déjà visible, cliquez sur Afficher le panneau d'informations. Cliquez ensuite sur Autorisations.
Cliquez sur Ajouter un compte principal.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal ou un autre identifiant.
Sélectionnez un rôle à attribuer dans la liste déroulante Sélectionner un rôle.
Cliquez sur Enregistrer.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION : emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : utilisateur ou compte de service auquel vous souhaitez ajouter la liaison de stratégie IAM
ROLE : rôle que vous souhaitez attribuer au membre

Pour en savoir plus sur la commande gcloud privateca templates add-iam-policy-binding, consultez la section gcloud privateca templates add-iam-policy-binding.

Pour en savoir plus sur la modification du rôle IAM d'un utilisateur, consultez la section Accorder l'accès.

Supprimer des liaisons de stratégie IAM

Vous pouvez supprimer une liaison de stratégie IAM existante à l'aide de la commande remove-iam-policy-binding du Google Cloud CLI.

Pour supprimer une stratégie IAM sur un pool d'autorités de certification particulier, utilisez la commande gcloud suivante :

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : utilisateur ou compte de service pour lequel vous souhaitez supprimer la liaison de stratégie IAM
ROLE : rôle que vous souhaitez supprimer pour le membre

Pour en savoir plus sur la commande gcloud privateca pools remove-iam-policy-binding, consultez la section gcloud privateca pools remove-iam-policy-binding.

Pour supprimer une stratégie IAM sur un modèle de certificat particulier, utilisez la commande gcloud suivante :

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Remplacez les éléments suivants :

LOCATION : emplacement du modèle de certificat. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
MEMBER : utilisateur ou compte de service pour lequel vous souhaitez supprimer la liaison de stratégie IAM
ROLE : rôle que vous souhaitez supprimer pour le membre

Pour en savoir plus sur la commande gcloud privateca templates remove-iam-policy-binding, consultez la section gcloud privateca templates remove-iam-policy-binding.

Pour en savoir plus sur la suppression du rôle IAM d'un utilisateur, consultez la section Révoquer l'accès.

Étape suivante

Consultez les rôles IAM pour CA Service et les autorisations associées.
Découvrez les modèles et les stratégies d'émission.
Découvrez comment gérer les contrôles de stratégie.