Cette page a été traduite par l'API Cloud Translation.

Types de stratégies IAM

Identity and Access Management (IAM) propose plusieurs types de stratégies pour vous aider à contrôler les ressources auxquelles les comptes principaux peuvent accéder. Cette page vous aide à comprendre les différences entre l'utilisation et la gestion de ces types de règles.

Types de stratégies IAM dans Google Cloud

IAM propose les types de stratégies suivants :

Règles d'autorisation
Stratégies de refus
Stratégies de limite d'accès des comptes principaux (PAB)
Règles d'accès

Le tableau suivant récapitule les différences entre ces types de règles :

Stratégie	Fonction de stratégie	API utilisée pour gérer la règle	Relation entre les règles et les cibles	Méthode d'association des règles à la cible	Ressource parente de la règle
Règles d'autorisation	Accorder aux comptes principaux l'accès aux ressources	API de la ressource pour laquelle vous souhaitez gérer les règles d'autorisation	Relation un-à-un Chaque stratégie d'autorisation est associée à une ressource, et chaque ressource ne peut avoir qu'une seule stratégie d'autorisation.	Spécifier la ressource lors de la création de la règle	Identique à la ressource à laquelle la stratégie d'autorisation est associée
Stratégies de refus	S'assurer que les comptes principaux ne peuvent pas utiliser d'autorisations spécifiques	L'API IAM v2	Relation un à plusieurs Chaque stratégie de refus est associée à une ressource. Chaque ressource peut comporter jusqu'à 500 stratégies de refus.	Spécifier une ressource lors de la création de la règle de refus	Identique à la ressource à laquelle la stratégie de refus est associée
Règles PAB	Limiter les ressources auxquelles un compte principal est autorisé à accéder	L'API IAM v3	Relation plusieurs à plusieurs Chaque règle de limite d'accès des comptes principaux peut être associée à un nombre illimité d'ensembles de comptes principaux. Chaque ensemble de comptes principaux peut être associé à un maximum de 10 règles de limite d'accès des comptes principaux.	Créez une liaison de stratégie qui associe la stratégie de limite d'accès des comptes principaux à un ensemble de comptes principaux.	L'entreprise
Règles d'accès	Accorder ou refuser l'accès des comptes principaux aux ressources pour les services compatibles	L'API IAM v3	Relation plusieurs à plusieurs Chaque stratégie d'accès peut être associée à un maximum de cinq ressources, et chaque ressource peut être associée à un maximum de cinq stratégies d'accès.	Créez une liaison de règle d'accès qui associe la règle d'accès à la ressource.	Le projet, le dossier ou l'organisation dans lesquels la règle d'accès est créée

Les sections suivantes fournissent des informations sur chaque type de règlement.

Stratégies permettant d'accorder l'accès aux comptes principaux

Pour accorder aux principaux l'accès aux ressources, utilisez l'une des stratégies suivantes :

Utilisez les règles d'autorisation pour accorder l'accès à n'importe quel type de ressource.
Utilisez des règles d'accès pour accorder l'accès aux ressources Eventarc.

Les stratégies d'autorisation vous permettent d'accorder l'accès aux ressources dans Google Cloud. Les stratégies d'autorisation sont composées de liaisons de rôles et de métadonnées. Les liaisons de rôle spécifient les comptes principaux qui doivent disposer d'un certain rôle sur la ressource.

Les règles d'autorisation sont toujours associées à une seule ressource. Une fois que vous avez associé une stratégie d'autorisation à une ressource, la stratégie est héritée par les descendants de cette ressource.

Pour créer et appliquer une stratégie d'autorisation, identifiez une ressource qui accepte les stratégies d'autorisation, puis utilisez la méthode setIamPolicy de cette ressource pour créer la stratégie d'autorisation. Tous les comptes principaux de la stratégie d'autorisation se voient attribuer les rôles spécifiés sur la ressource et sur tous ses descendants. Chaque ressource ne peut être associée qu'à une seule stratégie d'autorisation.

Pour en savoir plus sur les stratégies d'autorisation, consultez la section Comprendre les stratégies d'autorisation.

Les stratégies d'accès vous permettent de contrôler l'accès aux ressources Eventarc. Les règles d'accès peuvent autoriser ou refuser l'accès aux ressources. Pour créer et appliquer une règle d'accès, vous devez d'abord créer une règle d'accès, puis une liaison de règle pour associer cette règle à un projet contenant des ressources Eventarc.

Chaque liaison de stratégie associe une stratégie d'accès à une ressource. Une stratégie d'accès peut être associée à un maximum de cinq ressources. Chaque ressource peut comporter jusqu'à cinq stratégies d'accès. Lorsqu'une stratégie d'accès est supprimée, toutes les liaisons de stratégie associées le sont également.

Pour en savoir plus sur l'utilisation des stratégies d'accès pour contrôler l'accès aux ressources Eventarc, consultez la documentation Eventarc.

Stratégies pour refuser l'accès aux comptes principaux

Pour refuser l'accès des principaux aux ressources, utilisez l'une des méthodes suivantes :

Utilisez des stratégies de refus pour refuser l'accès à n'importe quel type de ressource.
Utilisez des règles d'accès pour refuser l'accès aux ressources Eventarc.

Les stratégies de refus, comme les stratégies d'autorisation, sont toujours associées à une seule ressource. Vous pouvez associer une stratégie de refus à un projet, un dossier ou une organisation. Ce projet, ce dossier ou cette organisation sert également de parent à la règle dans la hiérarchie des ressources. Une fois que vous avez associé une stratégie de refus à une ressource, la stratégie est héritée par les descendants de cette ressource.

Pour créer et appliquer des stratégies de refus, vous utilisez l'API IAM v2. Lorsque vous créez une stratégie de refus, vous spécifiez la ressource à laquelle elle est associée. Tous les comptes principaux de la stratégie de refus sont empêchés d'utiliser les autorisations spécifiées pour accéder à cette ressource et à ses descendants. Chaque ressource peut être associée à 500 stratégies de refus au maximum.

Pour en savoir plus sur les stratégies de refus, consultez Stratégies de refus.

Chaque liaison de stratégie associe une stratégie d'accès à une ressource. Une stratégie d'accès peut être associée à un maximum de cinq ressources. Chaque ressource peut comporter jusqu'à cinq stratégies d'accès. Lorsqu'une règle d'accès est supprimée, toutes les liaisons de règles associées le sont également.

Pour en savoir plus sur l'utilisation des stratégies d'accès pour contrôler l'accès aux ressources Eventarc, consultez la documentation Eventarc.

Stratégies permettant de limiter les ressources auxquelles un compte principal peut accéder

Pour limiter les ressources auxquelles un compte principal est autorisé à accéder, utilisez une stratégie de limite d'accès des comptes principaux. Les stratégies de limite d'accès des comptes principaux sont disponibles dans l'API IAM v3.

Pour créer et appliquer une stratégie de limite d'accès des comptes principaux, vous devez d'abord créer une stratégie de limite d'accès des comptes principaux, puis créer une liaison de stratégie pour associer cette stratégie à un ensemble de comptes principaux.

Les stratégies de limite d'accès des comptes principaux sont toujours des enfants de votre organisation. Les associations de règles pour les stratégies de limite d'accès des comptes principaux sont des enfants du projet, du dossier ou de l'organisation le plus proche de l'ensemble de comptes principaux référencé dans l'association de règles.

Chaque liaison de stratégie lie une stratégie de limite d'accès des comptes principaux à un ensemble de comptes principaux. Une règle de limite d'accès des comptes principaux peut être liée à un nombre illimité d'ensembles de comptes principaux. Chaque ensemble de comptes principaux peut être associé à dix stratégies de limite d'accès des comptes principaux. Lorsqu'une stratégie de limite d'accès des comptes principaux est supprimée, toutes les liaisons de stratégie associées le sont également.

Pour en savoir plus sur les stratégies de limite d'accès des comptes principaux, consultez Stratégies de limite d'accès des comptes principaux.

Évaluation de la stratégie

Lorsqu'un compte principal tente d'accéder à une ressource, IAM évalue toutes les stratégies d'autorisation, de refus et de limite d'accès des comptes principaux pertinentes pour vérifier si le compte principal est autorisé à accéder à la ressource. Si l'une de ces stratégies indique que le compte principal ne doit pas pouvoir accéder à la ressource, IAM l'empêche d'y accéder.

En réalité, IAM évalue tous les types de stratégies simultanément, puis compile les résultats pour déterminer si l'entité principale peut accéder à la ressource. Toutefois, il peut être utile de considérer que l'évaluation des règles se déroule en plusieurs étapes :

IAM vérifie toutes les stratégies de limite d'accès des comptes principaux pertinentes pour voir si le compte principal est autorisé à accéder à la ressource. Une stratégie de limite d'accès des comptes principaux est pertinente si les conditions suivantes sont remplies :
- La stratégie est liée à un ensemble de comptes principaux qui inclut le compte principal.
- La stratégie de limite d'accès des comptes principaux bloque l'autorisation que le compte principal tente d'utiliser. Les autorisations bloquées par une règle de limite d'accès des comptes principaux dépendent de la version de cette règle. Vous spécifiez la version de la stratégie lorsque vous créez la stratégie de limite d'accès des comptes principaux. Pour en savoir plus, consultez Versions des règles de limite d'accès des comptes principaux.
Après avoir vérifié les stratégies de limite d'accès des comptes principaux pertinentes, IAM effectue l'une des actions suivantes :
- Si les stratégies de limite d'accès des comptes principaux pertinentes n'incluent pas la ressource à laquelle le compte principal tente d'accéder ou si IAM ne peut pas les évaluer, IAM empêche le compte principal d'accéder à la ressource.
- Si les stratégies de limite d'accès des comptes principaux pertinentes incluent la ressource à laquelle le compte principal tente d'accéder, IAM passe à l'étape suivante.
- Si aucune stratégie de limite d'accès des comptes principaux pertinente n'existe, IAM passe à l'étape suivante.
Cloud IAM vérifie toutes les stratégies de refus pertinentes pour voir si le compte principal a été refusé. Les stratégies de refus applicables sont les stratégies de refus associées à la ressource, ainsi que les stratégies de refus héritées.

Pour les ressources Eventarc, IAM évalue également toutes les stratégies d'accès avec l'action DENY. Si IAM ne parvient pas à évaluer les règles d'accès, il les ignore et poursuit l'évaluation.
- Si l'une de ces stratégies de refus empêche le compte principal d'utiliser une autorisation requise, IAM l'empêche d'accéder à la ressource.
- Si aucune stratégie de refus n'empêche le compte principal d'utiliser une autorisation requise, IAM passe à l'étape suivante.
Cloud IAM vérifie toutes les stratégies d'autorisation pertinentes pour voir si le compte principal dispose des autorisations requises. Les stratégies d'autorisation pertinentes sont les stratégies d'autorisation associées à la ressource, ainsi que toutes les stratégies d'autorisation héritées.

Pour les ressources Eventarc, IAM évalue également toutes les stratégies d'accès avec l'action ALLOW. Si IAM ne parvient pas à évaluer les règles d'accès, il les ignore et poursuit l'évaluation.
- Si le compte principal ne dispose pas des autorisations requises, IAM l'empêche d'accéder à la ressource.
- Si le compte principal dispose des autorisations requises, IAM lui permet d'accéder à la ressource.

Le schéma suivant illustre ce flux d'évaluation des stratégies :

Flux d'évaluation des stratégies IAM

Étape suivante

En savoir plus sur les stratégies d'autorisation.
En savoir plus sur les stratégies de refus.
En savoir plus sur les stratégies de limite d'accès des comptes principaux.

Types de stratégies IAM Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.