Cette page vous explique quel type de rôle (prédéfini, personnalisé ou de base) vous devez utiliser pour contrôler l'accès aux ressources Google Cloud .
Vous trouverez ci-dessous un récapitulatif de nos recommandations pour choisir le type de rôle à utiliser :
- Nous vous recommandons de privilégier l'utilisation de rôles prédéfinis, car ils sont gérés par Google et offrent un équilibre entre sécurité et commodité.
- Si vous avez besoin d'un rôle qui respecte de près le principe du moindre privilège et que vous ne trouvez pas de rôle prédéfini qui réponde à vos exigences de sécurité, utilisez des rôles personnalisés.
- N'utilisez pas de rôles de base, sauf si vous n'avez pas d'autre choix ou si vous les utilisez dans un environnement de test.
Quand utiliser les rôles prédéfinis
En général, nous vous recommandons d'utiliser des rôles prédéfinis plutôt que des rôles de base ou personnalisés. Les rôles prédéfinis offrent un accès précis à desGoogle Cloud ressources spécifiques. Ils sont gérés par Google et mis à jour automatiquement lorsque de nouvelles autorisations, fonctionnalités ou services sont ajoutés àGoogle Cloud.
Toutefois, dans certains cas, vous pouvez préférer utiliser des rôles personnalisés ou de base. Les sections suivantes décrivent ces cas.
Quand utiliser les rôles personnalisés
Contrairement aux rôles prédéfinis, les rôles personnalisés ne sont pas gérés par Google. Cela signifie que lorsque Google Cloud ajoute de nouvelles autorisations, fonctionnalités ou services, vos rôles personnalisés ne sont pas mis à jour automatiquement. C'est pourquoi nous vous recommandons d'accorder les rôles prédéfinis les plus limités qui répondent à vos besoins.
Toutefois, il peut s'avérer judicieux de créer et d'accorder des rôles personnalisés dans les cas suivants :
- Un compte principal a besoin d'une autorisation, mais chaque rôle prédéfini qui inclut cette autorisation inclut également des autorisations dont le compte principal n'a pas besoin et dont il ne devrait pas disposer.
- Vous utilisez des recommandations de rôles pour remplacer les attributions de rôles trop permissives par des attributions de rôles plus appropriées. Dans certains cas, il est possible que vous receviez une recommandation de créer un rôle personnalisé.
Lorsque vous utilisez des rôles personnalisés, tenez compte des limites suivantes :
- Les rôles personnalisés peuvent contenir jusqu'à 3 000 autorisations.
- La taille totale maximale du titre, de la description et des noms d'autorisations pour un rôle personnalisé est de 64 ko.
Le nombre de rôles personnalisés que vous pouvez créer est limité :
- Vous pouvez créer jusqu'à 300 rôles personnalisés au niveau de l'organisation dans votre organisation.
- Vous pouvez créer jusqu'à 300 rôles personnalisés au niveau du projet dans chaque projet de votre organisation.
Quand utiliser les rôles de base
Les rôles de base incluent des milliers d'autorisations pour tous les services Google Cloud . Dans les environnements de production, n'accordez pas de rôles de base, sauf s'il n'existe pas d'autre solution. Accordez plutôt les rôles prédéfinis ou les rôles personnalisés les plus limités qui répondent à vos besoins.
Si vous devez remplacer un rôle de base, vous pouvez utiliser les recommandations de rôles pour déterminer les rôles à attribuer à la place. Vous pouvez également utiliser Policy Simulator pour vous assurer que la modification du rôle n'affecte pas l'accès du compte principal.
Il peut s'avérer judicieux d'accorder des rôles de base lorsque vous souhaitez accorder des autorisations plus larges pour un projet. Cela se produit souvent lorsque vous accordez des autorisations dans des environnements de développement ou de test.
Étapes suivantes
- Découvrez comment trouver les rôles prédéfinis appropriés.
- Découvrez comment créer des rôles personnalisés.
- Apprenez-en plus sur les rôles de base.