Autorisation et contrôle des accès

Identity and Access Management (IAM) est un outil qui vous permet de contrôler qui peut faire quoi dans votre environnement Google Cloud .

L'accès est contrôlé par les autorisations IAM, qui sont requises pour utiliser n'importe quelle ressource dans un environnement Google Cloud . Lorsque vous disposez des autorisations nécessaires pour travailler avec une ressource, vous êtes autorisé à y accéder. Sans l'autorisation appropriée, vous ne pouvez pas accéder aux ressources Google Cloud.

Autorisations et rôles

Pour utiliser une ressource, votre compte utilisateur doit disposer des autorisations nécessaires pour y accéder.

En règle générale, votre administrateur IAM est responsable du contrôle de l'accès aux ressources. Votre administrateur peut vous accorder des autorisations pour accéder à une seule ressource ou à toutes les ressources d'un projet, d'un dossier ou d'une organisation. Les administrateurs accordent les autorisations appropriées à votre compte utilisateur dans des ensembles appelés rôles. Tant que votre compte utilisateur dispose d'un rôle avec les autorisations appropriées, vous pouvez l'utiliser pour accéder aux ressources Google Cloud .

En général, le workflow permettant d'effectuer une action sur une ressource dans votre environnementGoogle Cloud se présente comme suit :

1. Vous souhaitez effectuer une action sur une ressource (par exemple, importer un objet dans un bucket Cloud Storage), mais vous ne disposez pas des autorisations appropriées. Sans ces autorisations, vous ne pouvez pas effectuer l'action.
2. Vous pouvez demander les autorisations dont vous avez besoin à votre administrateur IAM via le système de gestion des demandes de votre choix ou directement à partir du message d'erreur d'autorisation dans la console Google Cloud .
3. Votre administrateur IAM attribue à votre compte utilisateur un rôle qui contient les autorisations appropriées. Vous pouvez maintenant effectuer l'action.

Utiliser IAM en tant qu'administrateur

Les administrateurs sont généralement chargés d'attribuer des rôles aux utilisateurs pour leur permettre d'accéder aux ressources Google Cloud . Les utilisateurs sont représentés par des identités authentifiées appelées comptes principaux.

Pour attribuer des rôles à un compte principal sur une ressource, vous devez modifier la stratégie d'autorisation associée à la ressource. Les règles d'autorisation indiquent quels comptes principaux ont accès à la ressource et quelles actions ils peuvent effectuer sur celle-ci. Cloud IAM utilise des stratégies d'autorisation pour déterminer si un compte principal dispose des autorisations requises pour accéder à la ressource. Par conséquent, pour accorder à un compte principal l'accès à une ressource spécifique, vous devez mettre à jour la stratégie d'autorisation de la ressource avec le compte principal et les rôles que vous souhaitez accorder.

Les administrateurs peuvent attribuer des rôles à des comptes principaux sur les types de ressources suivants :

• Projets, dossiers et organisations : ces ressources sont les ressources de conteneur utilisées pour structurer votre hiérarchie des ressources. Les rôles que vous accordez sur ces ressources conteneurs s'appliquent à toutes les ressources spécifiques au service qu'elles contiennent.
• Ressources spécifiques à un service : il s'agit des fonctionnalités ou des composants proposés par un service. Par exemple, Compute Engine dispose de ressources telles que les instances, les disques et les sous-réseaux. L'attribution de rôles sur une ressource spécifique à un service offre contrôle des accès plus précis que l'attribution de rôles sur une ressource de conteneur, car elle limite l'accès d'un utilisateur à cette seule ressource.

Contrôle des accès avancé avec IAM

Les stratégies d'autorisation sont la méthode la plus courante pour contrôler l'accès à un environnementGoogle Cloud avec IAM. Toutefois, IAM propose également d'autres options plus avancées pour le contrôle des accès, y compris les suivantes :

• D'autres types de règles, comme les règles de refus et les stratégies de limite d'accès des comptes principaux
• Contrôles d'accès conditionnels basés sur les attributs
• Contrôles d'accès temporaires tels que Privileged Access Manager (PAM)

Autres formes de contrôle des accès

Bien que l'IAM soit la principale méthode de contrôle des accès pourGoogle Cloud, d'autres services Google Cloud peuvent affecter l'accès d'un utilisateur aux ressources.

Voici quelques exemples d'autres services qui peuvent affecter l'accès d'un utilisateur :

• Access Context Manager : Access Context Manager vous permet de définir un contrôle d'accès précis basé sur des attributs pour les projets et les ressources dans Google Cloud.
• Identity-Aware Proxy (IAP) : IAP utilise un modèle de contrôle des accès au niveau des applications, dans lequel vous établissez une couche d'autorisation centrale pour les applications accessibles via HTTPS.
• Service de règles d'administration : les règles d'administration vous permettent de configurer des contraintes dans votre hiérarchie de ressources afin de vous offrir un contrôle centralisé et automatisé des ressources cloud de votre organisation.
• VPC Service Controls : VPC Service Controls vous permet de définir des périmètres qui protègent les ressources et les données des services Google Cloud Google Cloud que vous spécifiez explicitement.

Étapes suivantes

• Pour obtenir une description plus détaillée du système IAM et de son fonctionnement, consultez la page de présentation d'IAM dans la documentation IAM.
• Pour en savoir plus sur les messages d'erreur IAM, consultez Résoudre les problèmes liés aux messages d'erreur d'autorisation dans la documentation IAM.