Cette page a été traduite par l'API Cloud Translation.

Rôles IAM

Cette page décrit les rôles IAM (Identity and Access Management) que vous pouvez utiliser pour configurer Assured Workloads. Les rôles limitent la capacité d'un compte principal pour accéder aux ressources. N'accordez à un compte principal que les autorisations nécessaires interagissent avec les API, fonctionnalités ou ressources Google Cloud applicables.

Pour pouvoir créer un dossier Assured Workloads, vous devez disposer l'un des rôles listés ci-dessous disposant de cette capacité, ainsi que l'équipe Cloud Billing rôle de contrôle des accès. Vous devez également disposer d'un compte de facturation actif et valide. Pour Pour en savoir plus, consultez Présentation du contrôle des accès à Cloud Billing

Rôles requis

Vous trouverez ci-dessous les rôles Assured Workloads minimum requis. À découvrez comment accorder, modifier ou révoquer l'accès aux ressources à l'aide de les rôles IAM, consultez Accorder, modifier et révoquer les accès à des ressources

Administrateur Assured Workloads (roles/assuredworkloads.admin) : permet de créer et de supprimer des dossiers Assured Workloads.
Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer): Accès permettant d'afficher toutes les ressources appartenant à une organisation.

Rôles Assured Workloads

Voici les rôles IAM associés Assured Workloads et comment attribuer ces rôles à l'aide du Google Cloud CLI. Pour savoir comment attribuer ces rôles dans la console Google Cloud ou par programmation, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation IAM.

Remplacez l'espace réservé ORGANIZATION_ID par l'identifiant réel de l'organisation et example@customer.org par l'adresse e-mail de l'utilisateur. Pour récupérer l'ID de votre organisation, consultez Récupérez votre ID d'organisation.

`roles/assuredworkloads.admin`

Pour créer et supprimer des dossiers Assured Workloads. Lecture/écriture autorisée y accéder.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permet un accès en lecture/écriture.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Permet d'obtenir et de répertorier les dossiers Assured Workloads. Accès en lecture seule autorisé y accéder.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Rôles personnalisés

Si vous souhaitez définir vos propres rôles et y associer plusieurs autorisations, utilisez des rôles personnalisés.

Bonnes pratiques IAM pour Assured Workloads

Sécuriser correctement les rôles IAM à suivre du moindre privilège est Google Cloud de sécurité les bonnes pratiques. Ce principe suit la règle selon laquelle les utilisateurs ne doivent avoir l'accès aux produits, services et applications requis par son rôle. Utilisateurs ne sont pas actuellement autorisés à utiliser des services hors du champ d'application avec les projets Assured Workloads lors du déploiement de produits et de services en dehors d'un dossier Assured Workloads.

La liste des produits concernés par le package de contrôle permet de guider les administrateurs de sécurité lors de la création des rôles personnalisés qui limitent l'accès des utilisateurs uniquement pour les produits couverts dans le dossier Assured Workloads. Personnalisée peuvent faciliter l'obtention et le maintien de la conformité Dossier Assured Workloads.