Accorder aux utilisateurs l'accès aux instances

Cette page explique comment accorder à vos utilisateurs l'accès à votre instance Secure Source Manager à l'aide d'Identity and Access Management (IAM). Pour en savoir plus sur le contrôle des accès dans Secure Source Manager, consultez Contrôle des accès avec IAM.

Rôles requis

Pour obtenir les autorisations nécessaires pour accorder aux utilisateurs l'accès à l'instance, demandez à votre administrateur de vous attribuer le rôle IAM Propriétaire de l'instance Secure Source Manager (roles/securesourcemanager.instanceOwner) sur l'instance Secure Source Manager. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour savoir comment attribuer des rôles Secure Source Manager, consultez Contrôle des accès avec IAM.

Accorder l'accès aux utilisateurs de la fédération d'identité de personnel

Si vous utilisez la fédération d'identité des employés pour accéder à Secure Source Manager, les comptes principaux sont représentés différemment. Pour savoir comment accorder l'accès aux comptes principaux qui représentent des groupes d'identités, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM.

Par exemple, la commande suivante accorde à l'utilisateur user@example.com le rôle Accesseur d'instance (roles/securesourcemanager.instanceAccessor) dans le pool d'identités de personnel my-pool sur l'instance my-instance dans le projet my-project de la région us-central1 :

  gcloud source-manager instances add-iam-policy-binding my-instance \
      --project=my-project \
      --region=us-central1 \
      --member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
      --role=roles/securesourcemanager.instanceAccessor

Vous pouvez accorder des autorisations aux utilisateurs ou aux groupes de votre pool d'identités de personnel en fonction des attributs de votre fournisseur d'identité (IdP), ou utiliser le Common Expression Language (CEL) pour mapper vos attributs OIDC à des attributs personnalisés afin de définir une stratégie d'autorisation dans votre règle IAM. Pour en savoir plus sur les mappages d'attributs, consultez Mappages d'attributs.

Accorder l'accès à un seul utilisateur

Pour accorder l'accès à l'instance à un seul utilisateur, utilisez la commande Google Cloud CLI suivante :

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --member=PRINCIPAL_IDENTIFIER \
      --role=roles/securesourcemanager.instanceAccessor

Remplacez les éléments suivants :

INSTANCE_ID par l'ID de l'instance.
PROJECT_ID par l'ID ou le numéro du projet de l'instance.
REGION avec la région dans laquelle se trouve l'instance. Consultez la documentation sur les emplacements pour connaître les régions Secure Source Manager disponibles.
PRINCIPAL_IDENTIFIER avec l'identifiant du compte principal auquel vous souhaitez accorder le rôle.

Par exemple, pour attribuer le rôle à un seul utilisateur avec son adresse e-mail, vous devez mettre en forme l'identifiant principal comme suit : user:EMAIL, où EMAIL est l'adresse e-mail de l'utilisateur.

Pour en savoir plus sur les identifiants de compte principal acceptés, consultez Identifiants de compte principal.

Par exemple, la commande suivante accorde à l'utilisateur trusted-user1@gmail.com le rôle roles/securesourcemanager.instanceAccessor sur l'instance my-instance, dans le projet my-project de la région us-central.

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=my-project \
      --region=us-central1 \
      --member=user:trusted-user1@gmail.com \
      --role=roles/securesourcemanager.instanceAccessor

Accorder l'accès à plusieurs utilisateurs

Pour accorder l'accès à plusieurs utilisateurs, nous vous recommandons de créer un groupe Google qui inclut tous les utilisateurs potentiels, comme tous les développeurs.

Vous pouvez ensuite attribuer au groupe un ou plusieurs des rôles suivants :

Accesseur d'instance (roles/securesourcemanager.instanceAccessor) : affichez l'instance.
Créateur de dépôts d'instances (roles/securesourcemanager.instanceRepositoryCreator) : permet de créer et de modifier des dépôts.
Propriétaire de l'instance (roles/securesourcemanager.instanceOwner) : gestion complète de l'instance.

Pour savoir comment attribuer des rôles à un groupe, consultez Accorder l'accès à plusieurs comptes principaux dans la documentation IAM.

Étapes suivantes

Accordez aux utilisateurs l'accès au dépôt.
Apprenez-en plus sur le contrôle des accès avec IAM.
Créez un dépôt.
Attribuer et révoquer des rôles IAM

Accorder aux utilisateurs l'accès aux instances Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.