Contrôle des accès avec IAM

Service Usage fait appel à Identity and Access Management (IAM) pour contrôler l'accès aux services. Cette page décrit les rôles et les autorisations IAM liés à Service Usage, et explique comment les utiliser pour assurer le contrôle des accès.

Modèle de ressource

Les ressources pertinentes pour Service Usage sont au nombre de trois :

  1. Le service que vous utilisez.

  2. Le projet à partir duquel vous utilisez ce service.

  3. L'opération, ou éventuellement l'opération de longue durée, renvoyée par certaines méthodes.

Chaque méthode de Service Usage requiert une autorisation sur une ou plusieurs de ces ressources.

Autorisations IAM

Le tableau suivant indique les autorisations requises pour chaque méthode de l'API Service Usage. Vous pouvez également trouver ces informations dans la documentation de référence de l'API.

Méthode Autorisations requises
services.batchEnable Sur le projet : serviceusage.services.enable
Sur les services : servicemanagement.services.bind
services.enable Sur le projet : serviceusage.services.enable
Sur le service : servicemanagement.services.bind
services.disable Sur le projet : serviceusage.services.disable
services.get Sur le projet : serviceusage.services.get
services.list Sur le projet : serviceusage.services.list
services.consumerQuotaMetrics.list
services.consumerQuotaMetrics.get
services.consumerQuotaMetrics.limits.get
services.consumerQuotaMetrics.limits.consumerOverrides.list
services.consumerQuotaMetrics.limits.adminOverrides.list
services.consumerQuotaMetrics.limits.producerOverrides.list 		Sur le projet : serviceusage.quota.get
Sur le service : servicemanagement.services.bind
services.consumerQuotaMetrics.consumerOverrides.create
services.consumerQuotaMetrics.consumerOverrides.patch
services.consumerQuotaMetrics.consumerOverrides.delete
services.adminQuotaMetrics.adminOverrides.create
services.adminQuotaMetrics.adminOverrides.patch
services.adminQuotaMetrics.adminOverrides.delete 		Sur le projet : serviceusage.quota.update
Sur le service : servicemanagement.services.bind
Pour utiliser un projet à des fins de quota et de facturation. Pour en savoir plus, consultez Paramètres système. Sur le projet : serviceusage.services.use

Rôles IAM

IAM vous permet d'accorder des autorisations aux utilisateurs en leur attribuant un rôle. Les tableaux suivants répertorient les rôles IAM de base et prédéfinis, ainsi que les autorisations associées à Service Usage incluses dans ces rôles.

Pour en savoir plus sur les rôles, consultez la page Comprendre les rôles.

Rôles de base

Nom Titre Autorisations
roles/viewer Lecteur serviceusage.services.get
serviceusage.services.list
serviceusage.quotas.get

roles/editor

roles/owner

Éditeur

Propriétaire

 serviceusage.services.get
serviceusage.services.list
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.use
serviceusage.quotas.get
serviceusage.quotas.update

Rôles prédéfinis

Rôle Autorisations

(roles/serviceusage.apiKeysAdmin)

Permet de créer, de supprimer, de mettre à jour, d'obtenir et de répertorier les clés API d'un projet.

apikeys.*

  • apikeys.keys.create
  • apikeys.keys.delete
  • apikeys.keys.get
  • apikeys.keys.getKeyString
  • apikeys.keys.list
  • apikeys.keys.lookup
  • apikeys.keys.undelete
  • apikeys.keys.update

orgpolicy.policy.get

serviceusage.apiKeys.*

  • serviceusage.apiKeys.regenerate
  • serviceusage.apiKeys.revert

serviceusage.operations.get

(roles/serviceusage.apiKeysViewer)

Permet d'obtenir et de répertorier les clés API d'un projet.

apikeys.keys.get

apikeys.keys.getKeyString

apikeys.keys.list

apikeys.keys.lookup

(roles/serviceusage.serviceUsageAdmin)

Permet d'activer, de désactiver et d'inspecter les états de service ; d'inspecter les opérations ; et de consommer les quotas et la facturation pour un projet destiné à un consommateur.

monitoring.timeSeries.list

serviceusage.consumerpolicy.*

  • serviceusage.consumerpolicy.analyze
  • serviceusage.consumerpolicy.get
  • serviceusage.consumerpolicy.update

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.*

  • serviceusage.quotas.get
  • serviceusage.quotas.update

serviceusage.services.*

  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use

serviceusage.values.test

(roles/serviceusage.serviceUsageConsumer)

Permet d'inspecter les états de service et les opérations, et de consommer les quotas et la facturation pour un projet destiné à un consommateur.

monitoring.timeSeries.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

serviceusage.services.use

serviceusage.values.test

(roles/serviceusage.serviceUsageViewer)

Permet d'inspecter les états de service et les opérations pour un projet destiné à un consommateur.

monitoring.timeSeries.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test