Contrôle des accès avec IAM

Cette page décrit les autorisations et les rôles d'exécution SaaS.

Pour utiliser l'environnement d'exécution SaaS, vous devez vous assurer de disposer des comptes de service requis. Pour ces comptes de service, vous devez accorder les autorisations requises. Pour en savoir plus sur les comptes de service et l'environnement d'exécution SaaS, consultez Comptes de service de l'environnement d'exécution SaaS. Pour en savoir plus sur les comptes de service, consultez la présentation des comptes de service.

Pour déployer ou afficher les ressources Google Cloud définies dans la configuration Terraform, vous devez accorder au compte de service des autorisations spécifiques à ces ressources. Ces autorisations s'ajoutent à celles requises pour utiliser SaaS Runtime. Pour obtenir la liste de tous les rôles et des autorisations qu'ils contiennent, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.

Un compte de service n'est pas nécessaire pour afficher les déploiements, les révisions et les stratégies IAM de l'environnement d'exécution SaaS.

Rôles prédéfinis de l'environnement d'exécution SaaS

IAM fournit des rôles prédéfinis qui accordent l'accès à des ressources Google Cloud spécifiques et empêchent les accès non autorisés aux autres ressources.

Le tableau suivant répertorie les rôles IAM SaaS Runtime et les autorisations associées :

Rôle Description Autorisations
Administrateur de l'environnement d'exécution SaaS (roles/saasservicemgmt.admin) Accès complet à toutes les ressources SaaS Runtime. saasservicemgmt.rollouts.create
saasservicemgmt.rollouts.update
saasservicemgmt.rollouts.delete
saasservicemgmt.rolloutKinds.create
saasservicemgmt.rolloutKinds.update
saasservicemgmt.rolloutKinds.delete
saasservicemgmt.releases.create
saasservicemgmt.releases.update
saasservicemgmt.releases.delete
saasservicemgmt.units.create
saasservicemgmt.units.update
saasservicemgmt.units.delete
saasservicemgmt.unitKinds.create
saasservicemgmt.unitKinds.update
saasservicemgmt.unitKinds.delete
saasservicemgmt.unitOperations.create
saasservicemgmt.unitOperations.update
saasservicemgmt.unitOperations.delete
saasservicemgmt.tenants.create
saasservicemgmt.tenants.update
saasservicemgmt.tenants.delete
saasservicemgmt.saas.create
saasservicemgmt.saas.update
saasservicemgmt.saas.delete
resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get
Lecteur de déploiement SaaS (roles/saasservicemgmt.viewer) Lire les ressources de l'environnement d'exécution SaaS : versions, déploiements, rolloutKinds, unités, unitKinds, unitOperations, saas et locataires. resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get

Autorisations

Les autorisations dont l'appelant doit disposer pour appeler chaque méthode sont listées dans la documentation de référence de l'API REST.

Étapes suivantes