Groupes d'utilisateurs et rôles Identity and Access Management recommandés

Le tableau suivant décrit les rôles IAM (Identity and Access Management) que nous vous recommandons d'utiliser comme point de départ pour exécuter des charges de travail surGoogle Cloud. Configurez vos rôles IAM pour implémenter la séparation des tâches dans votre environnement et pour les aligner sur votre tolérance au risque et votre structure organisationnelle.

Lorsque vous attribuez ces rôles aux groupes d'utilisateurs de votre organisation, réfléchissez aux cas d'utilisation et aux exigences d'accès aux données spécifiques pour lesquels vous devez appliquer des rôles plus précis. Pour les environnements dans lesquels des données très sensibles sont utilisées (par exemple, si vous utilisez des données sensibles pour entraîner des modèles), consultez Importer des données dans un entrepôt de données BigQuery sécurisé pour en savoir plus sur les rôles que vous pouvez utiliser pour autoriser l'accès aux données stockées.

Le tableau suivant décrit les recommandations de rôle. Appliquez les recommandations de base et celles spécifiques aux cas d'utilisation, le cas échéant.

Service Groupe Description Rôles IAM

Certification

grp-gcp-org-admin

Ce groupe administre les ressources appartenant à l'organisation. Attribuez ce rôle avec parcimonie. Les administrateurs de l'organisation ont accès à toutes vos ressources Google Cloud . Comme cette fonction dispose de droits élevés, envisagez d'utiliser des comptes individuels plutôt que de créer un groupe.
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de dossier (roles/resourcemanager.folderAdmin)
  • Créateur de projet (roles/resourcemanager.projectCreator)
  • Utilisateur de compte de facturation (roles/billing.user)
  • Administrateur des rôles de l'organisation (roles/iam.organizationRoleAdmin)
  • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  • Administrateur du centre de sécurité (roles/securitycenter.admin)
  • Administrateur de compte d'assistance (roles/cloudsupport.admin)

Certification

grp-gcp-network-admins

Ce groupe peut créer des réseaux, des sous-réseaux, des règles de pare-feu et des appareils réseau, tels que Cloud Router, Cloud VPN et les équilibreurs de charge cloud.
  • Administrateur de réseaux Compute (roles/compute.networkAdmin)
  • Administrateur VPC Compute partagé (roles/compute.xpnAdmin)
  • Administrateur de sécurité de Compute (roles/compute.securityAdmin)
  • Lecteur de dossier (roles/resourcemanager.folderViewer)

Certification

grp-gcp-billing-admin

Ce groupe configure les comptes de facturation et surveille leur utilisation.
  • Administrateur de compte de facturation (roles/billing.admin)
  • Créateur de compte de facturation (roles/billing.creator)
  • Lecteur d'organisation (roles/resourcemanager.organizationViewer)

Certification

grp-gcp-security-admins

Ce groupe établit et gère les règles de sécurité pour l'ensemble de l'organisation, y compris la gestion des accès et les règles concernant les contraintes de l'organisation. Pour planifier votre infrastructure de sécurité Google Cloud , consultez le plan de base d'entreprise.
  • Lecteur de données BigQuery (roles/bigquery.dataViewer)
  • Lecteur Compute (roles/compute.viewer)
  • Administrateur IAM de dossiers (roles/resourcemanager.folderIamAdmin)
  • Lecteur Kubernetes Engine (roles/container.viewer)
  • Rédacteur de configuration des journaux (roles/logging.configWriter)
  • Lecteur des rôles de l'organisation (roles/iam.organizationRoleViewer)
  • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  • Lecteur des règles d'administration (roles/orgpolicy.policyViewer)
  • Lecteur des journaux privés (roles/logging.privateLogViewer)
  • Administrateur du centre de sécurité (roles/securitycenter.admin)
  • Examinateur de sécurité (roles/iam.securityReviewer)

Certification

grp-gcp-billing-viewer

Ce groupe surveille les dépenses liées aux projets. En règle générale, les membres du groupe font partie de l'équipe financière.
  • Lecteur de compte de facturation (roles/billing.viewer)

Certification

grp-gcp-platform-viewer

Ce groupe examine les informations sur les ressources dans l'ensemble de l'organisation Google Cloud.
  • Lecteur (roles/viewer)

Certification

grp-gcp-security-reviewer

Ce groupe examine la sécurité du cloud.
  • Examinateur de sécurité (roles/iam.securityReviewer)

Certification

grp-gcp-network-viewer

Ce groupe examine les configurations réseau.
  • Lecteur de réseau Compute (roles/compute.networkViewer)

Certification

grp-gcp-audit-viewer

Ce groupe peut consulter les journaux d'audit.
  • Lecteur des journaux privés (roles/logging.privateLogViewer)
  • Lecteur (roles/viewer)

Certification

grp-gcp-scc-admin

Ce groupe administre Security Command Center.
  • Administrateur du centre de sécurité (roles/securitycenter.admin)

Certification

grp-gcp-secrets-admin

Ce groupe gère les secrets dans Secret Manager.
  • Administrateur Secret Manager (roles/secretmanager.admin)

Administrateurs Agent Platform

grp-gcp-vertex-ai-admin

Ce groupe a un accès complet à toutes les ressources d'Agent Platform.
  • Administrateur Vertex AI (roles/aiplatform.admin)

Lecteurs Agent Platform

grp-gcp-vertex-ai-viewer

Ce groupe peut afficher toutes les ressources d'Agent Platform.
  • Lecteur Vertex AI (roles/aiplatform.viewer)

Utilisateurs Agent Platform

grp-gcp-vertex-ai-user

Ce groupe utilise toutes les ressources d'Agent Platform.
  • Utilisateur Vertex AI (roles/aiplatform.user)

Administrateurs Agent Platform Workbench

grp-gcp-vertex-ai-notebook-admin

Ce groupe a un accès complet à tous les modèles et environnements d'exécution dans Agent Platform Workbench.
  • Administrateur de l'environnement d'exécution de notebook (roles/aiplatform.notebookRuntimeAdmin)

Utilisateurs d'Agent Platform Workbench

grp-gcp-vertex-ai-notebook-user

Ce groupe crée des ressources d'environnement d'exécution à l'aide d'un modèle et gère les ressources d'environnement d'exécution qu'il a créées.
  • Utilisateur de l'environnement d'exécution de notebook (roles/aiplatform.notebookRuntimeUser)

Étapes suivantes