Rôles et autorisations

Google Cloud propose Identity and Access Management (IAM), qui vous permet d'attribuer un accès précis à des ressources Google Cloud spécifiques et d'empêcher l'accès à d'autres ressources. Cette page décrit les rôles et les autorisations pour les extensions de service.

IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Les rôles sont des ensembles d'autorisations IAM. Pour mettre les autorisations à la disposition des comptes principaux, y compris les utilisateurs, les groupes et les comptes de service, vous attribuez des rôles aux comptes principaux. Vous pouvez contrôler qui dispose de quelles autorisations sur quelles ressources en définissant des stratégies IAM. Les stratégies IAM permettent d'attribuer des rôles spécifiques à des comptes principaux, et ainsi de leur accorder certaines autorisations.

Pour en savoir plus sur les rôles IAM, consultez Rôles et autorisations.

Rôles et autorisations prédéfinis pour les extensions de service

Les extensions de service sont compatibles avec les autorisations IAM au niveau du projet.

Le tableau suivant répertorie les rôles IAM des extensions de service et les autorisations incluses dans chacun d'eux.

Rôles	Autorisations
Administrateur d'extensions de service (roles/networkservices.serviceExtensionsAdmin) Autorisations permettant de créer, mettre à jour, lister, afficher et supprimer des extensions.	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Lecteur d'extensions de service (roles/networkservices.serviceExtensionsViewer) Autorisations permettant de lister et d'afficher les extensions.	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

Le tableau suivant répertorie les rôles IAM dont vous avez besoin pour d'autres services, ainsi que les autorisations incluses dans chaque rôle.

Rôles	Autorisations
Administrateur de l'équilibreur de charge Compute (roles/compute.loadBalancerAdmin) Autorisations permettant de modifier les règles de transfert. Obligatoire lors de la création et de la mise à jour des extensions associées aux règles de transfert.	compute.forwardingRules.update compute.globalForwardingRules.update
Utilisateur des services de l'équilibreur de charge Compute (roles/compute.loadBalancerServiceUser) Autorisations permettant d'utiliser les services de backend. Obligatoire lors de la création et de la mise à jour d'extensions qui utilisent des services de backend comme services d'extension.	compute.backendServices.use compute.regionBackendBuckets.use

Gérer le contrôle des accès

Pour définir les contrôles d'accès au niveau du projet, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page IAM.

   Accéder à IAM

2. Sélectionnez votre projet.

3. Cliquez sur Ajouter.

4. Dans Nouveaux comptes principaux, saisissez l'adresse e-mail d'un nouveau compte principal.

5. Sélectionnez le rôle requis.

6. Cliquez sur Enregistrer.

7. Vérifiez que le compte principal est bien répertorié avec le rôle que vous lui avez accordé.

Identifier les autorisations d'un rôle

Pour déterminer si une ou plusieurs autorisations sont incluses dans un rôle, vous pouvez employer l'une des méthodes suivantes :

• La documentation de référence sur les recherches d'autorisations IAM
• Commande gcloud iam roles describe
• La méthode roles.get() dans l'API IAM

Étapes suivantes

• Consultez la présentation des extensions de service.
• Découvrez comment préparer le code du plug-in pour créer des plug-ins.
• Découvrez comment créer un plug-in.
• Découvrez comment gérer les plug-ins.