Rôles et autorisations

Cette page répertorie les autorisations requises par le Gestionnaire de certificats et les rôles Identity and Access Management qui les encapsulent.

Autorisations

Cette section liste les autorisations requises pour effectuer des opérations spécifiques dans le Gestionnaire de certificats.

Opération et méthode Ressource Autorisation
Créer un certificat

certificates.create		 Certificats certificatemanager.certs.create sur le projet Google Cloud cible. Si vous utilisez une autorisation DNS, certificatemanager.dnsauthorizations.use est également requis sur chaque autorisation DNS associée.
Répertorier les certificats

certificates.list		 Certificats certificatemanager.certs.list sur le projet Google Cloud cible
Afficher les certificats dans la console

serviceusage.quotas.get,
monitoring.timeSeries.list		 Certificats serviceusage.quotas.get et monitoring.timeSeries.list sur le projet Google Cloud cible
Récupérer un certificat

certificates.get		 Certificats certificatemanager.certs.get sur le certificat cible
Mettre à jour un certificat

certificates.patch		 Certificats certificatemanager.certs.update sur le certificat cible
Associer un certificat à une ressource Certificats certificatemanager.certs.use sur le certificat cible
Supprimer un certificat

certificates.delete		 Certificats certificatemanager.certs.delete sur le certificat cible
Créer un mappage de certificat

certificateMaps.create		 Mappages de certificats certificatemanager.certmaps.create sur le projet Google Cloud cible
Lister les mappages de certificats

certificateMaps.list		 Mappages de certificats certificatemanager.certmaps.list sur le projet Google Cloud cible
Récupérez un mappage de certificat

certificateMaps.get		 Mappages de certificats certificatemanager.certmaps.get sur le mappage de certificat cible
Mettre à jour un mappage de certificat

certificateMaps.patch		 Mappages de certificats certificatemanager.certmaps.update sur le mappage de certificat cible
Associer un mappage de certificat à une ressource Mappages de certificats certificatemanager.certmaps.use sur le mappage de certificat cible
Supprimer un mappage de certificat

certificateMaps.delete		 Mappages de certificats certificatemanager.certmaps.delete sur le mappage de certificat cible
Créer une entrée de mappage de certificat

certificateMaps.certificateMapEntries.create		 Entrées de mappages de certificats certificatemanager.certmapentries.create sur le mappage de certificats cible et certificatemanager.certs.use sur chaque certificat associé.
Lister les entrées de mappage de certificats

certificateMaps.certificateMapEntries.list		 Entrées de mappages de certificats certificatemanager.certmapentries.list sur le mappage de certificat cible
Récupérez une entrée de mappage de certificats

certificateMaps.certificateMapEntries.get		 Entrées de mappages de certificats certificatemanager.certmapentries.get sur l'entrée de mappage de certificat cible
Mettre à jour une entrée de mappage de certificat

certificateMaps.certificateMapEntries.patch		 Entrées de mappages de certificats certificatemanager.certmapentries.update sur l'entrée de mappage de certificats cible et certificatemanager.certs.use sur chaque certificat associé.
Supprimer une entrée de mappage de certificat

certificateMaps.certificateMapEntries.delete		 Entrées de mappages de certificats certificatemanager.certmapentries.delete sur l'entrée de mappage de certificat cible
Créer une autorisation DNS

dnsAuthorizations.create		 Autorisations DNS certificatemanager.dnsauthorizations.create sur le projet Google Cloud cible
Lister les autorisations DNS

dnsAuthorizations.list		 Autorisations DNS certificatemanager.dnsauthorizations.list sur le projet Google Cloud cible
Récupérer une autorisation DNS

dnsAuthorizations.get		 Autorisations DNS certificatemanager.dnsauthorizations.get sur l'autorisation DNS cible
Modifier une autorisation DNS

dnsAuthorizations.patch		 Autorisations DNS certificatemanager.dnsauthorizations.update sur l'autorisation DNS cible
Supprimer une autorisation DNS

dnsAuthorizations.delete		 Autorisations DNS certificatemanager.dnsauthorizations.delete sur l'autorisation DNS cible
Créer une configuration d'émission de certificats

certificateIssuanceConfigs.create		 Configurations d'émission de certificats certificatemanager.certissuanceconfigs.create sur le projet Google Cloud cible
Lister les configurations d'émission de certificats

certificateIssuanceConfigs.list		 Configurations d'émission de certificats certificatemanager.certissuanceconfigs.list sur le projet Google Cloud cible
Récupérez une configuration d'émission de certificats.

certificateIssuanceConfigs.get		 Configurations d'émission de certificats certificatemanager.certissuanceconfigs.get sur la configuration d'émission de certificats cible
Supprimer une configuration d'émission de certificats

certificateIssuanceConfigs.delete		 Configurations d'émission de certificats certificatemanager.certissuanceconfigs.delete sur la configuration d'émission de certificats cible
Créer une configuration de confiance

trustConfigs.create		 Configurations de confiance certificatemanager.trustconfigs.create sur le projet Google Cloud cible
Lister les configurations de confiance

trustConfigs.list		 Configurations de confiance certificatemanager.trustconfigs.list sur le projet Google Cloud cible
Mettre à jour une configuration de confiance

trustConfigs.patch		 Configurations de confiance certificatemanager.trustconfigs.update sur la configuration de confiance cible
Obtenir l'état d'une configuration de confiance

trustConfigs.get		 Configurations de confiance certificatemanager.trustconfigs.get sur la configuration de confiance cible
Associer une configuration de confiance à une ressource Configurations de confiance certificatemanager.trustconfigs.use sur la configuration de confiance cible
Supprimer une configuration de confiance

trustConfigs.delete		 Configurations de confiance certificatemanager.trustconfigs.delete sur la configuration de confiance cible
Créer une clé de compte externe

externalAccountKeys.create		 Clés de compte externes publicca.externalAccountKeys.create sur le projet Google Cloud cible

Rôles

Cette section répertorie les rôles IAM qui encapsulent les autorisations du Gestionnaire de certificats.

Rôles du gestionnaire de certificats pour les projets Google Cloud

Le tableau suivant répertorie les rôles de projet Google Cloud et les autorisations du Gestionnaire de certificats qu'ils encapsulent.

Role Permissions

(roles/certificatemanager.editor)

Edit access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.create

certificatemanager.certissuanceconfigs.createTagBinding

certificatemanager.certissuanceconfigs.deleteTagBinding

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.listEffectiveTags

certificatemanager.certissuanceconfigs.listTagBindings

certificatemanager.certissuanceconfigs.update

certificatemanager.certissuanceconfigs.use

certificatemanager.certmapentries.create

certificatemanager.certmapentries.createTagBinding

certificatemanager.certmapentries.deleteTagBinding

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.listEffectiveTags

certificatemanager.certmapentries.listTagBindings

certificatemanager.certmapentries.update

certificatemanager.certmaps.create

certificatemanager.certmaps.createTagBinding

certificatemanager.certmaps.deleteTagBinding

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.listEffectiveTags

certificatemanager.certmaps.listTagBindings

certificatemanager.certmaps.update

certificatemanager.certmaps.use

certificatemanager.certs.create

certificatemanager.certs.createTagBinding

certificatemanager.certs.deleteTagBinding

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.listEffectiveTags

certificatemanager.certs.listTagBindings

certificatemanager.certs.update

certificatemanager.certs.use

certificatemanager.dnsauthorizations.create

certificatemanager.dnsauthorizations.createTagBinding

certificatemanager.dnsauthorizations.deleteTagBinding

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.listEffectiveTags

certificatemanager.dnsauthorizations.listTagBindings

certificatemanager.dnsauthorizations.update

certificatemanager.dnsauthorizations.use

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.create

certificatemanager.trustconfigs.createTagBinding

certificatemanager.trustconfigs.deleteTagBinding

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.listEffectiveTags

certificatemanager.trustconfigs.listTagBindings

certificatemanager.trustconfigs.update

certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.owner)

Full access to Certificate Manager all resources.

certificatemanager.*

  • certificatemanager.certissuanceconfigs.create
  • certificatemanager.certissuanceconfigs.createTagBinding
  • certificatemanager.certissuanceconfigs.delete
  • certificatemanager.certissuanceconfigs.deleteTagBinding
  • certificatemanager.certissuanceconfigs.get
  • certificatemanager.certissuanceconfigs.list
  • certificatemanager.certissuanceconfigs.listEffectiveTags
  • certificatemanager.certissuanceconfigs.listTagBindings
  • certificatemanager.certissuanceconfigs.update
  • certificatemanager.certissuanceconfigs.use
  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.createTagBinding
  • certificatemanager.certmapentries.delete
  • certificatemanager.certmapentries.deleteTagBinding
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.listEffectiveTags
  • certificatemanager.certmapentries.listTagBindings
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.createTagBinding
  • certificatemanager.certmaps.delete
  • certificatemanager.certmaps.deleteTagBinding
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.listEffectiveTags
  • certificatemanager.certmaps.listTagBindings
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.createTagBinding
  • certificatemanager.certs.delete
  • certificatemanager.certs.deleteTagBinding
  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.listEffectiveTags
  • certificatemanager.certs.listTagBindings
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.createTagBinding
  • certificatemanager.dnsauthorizations.delete
  • certificatemanager.dnsauthorizations.deleteTagBinding
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.listEffectiveTags
  • certificatemanager.dnsauthorizations.listTagBindings
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.get
  • certificatemanager.locations.list
  • certificatemanager.operations.cancel
  • certificatemanager.operations.delete
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • certificatemanager.trustconfigs.create
  • certificatemanager.trustconfigs.createTagBinding
  • certificatemanager.trustconfigs.delete
  • certificatemanager.trustconfigs.deleteTagBinding
  • certificatemanager.trustconfigs.get
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.listEffectiveTags
  • certificatemanager.trustconfigs.listTagBindings
  • certificatemanager.trustconfigs.update
  • certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.serviceAgent)

Grants Certificate Manager access to services and APIs in the user project.

certificatemanager.locations.get

(roles/certificatemanager.viewer)

Read-only access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.listEffectiveTags

certificatemanager.certissuanceconfigs.listTagBindings

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.listEffectiveTags

certificatemanager.certmapentries.listTagBindings

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.listEffectiveTags

certificatemanager.certmaps.listTagBindings

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.listEffectiveTags

certificatemanager.certs.listTagBindings

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.listEffectiveTags

certificatemanager.dnsauthorizations.listTagBindings

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.listEffectiveTags

certificatemanager.trustconfigs.listTagBindings

resourcemanager.projects.get

resourcemanager.projects.list

Rôles Public CA Google Cloud

Les rôles suivants et les autorisations qu'ils encapsulent sont spécifiquement requis pour les opérations de Public CA:

Rôle Autorisations
Créateur de clés de compte externe de l'autorité de certification publique
(roles/publicca.externalAccountKeyCreator)

Créez un accès pour les ressources de compte de clé externe de Public CA.

 resourcemanager.projects.get
resourcemanager.projects.list
publicca.externalAccountKeys.create

Rôles personnalisés

Google Cloud vous permet également de créer des rôles personnalisés qui encapsulent les autorisations spécifiques à vos besoins métier, comme le principe du moindre privilège. Pour obtenir des instructions, consultez la section Créer et gérer les rôles personnalisés.

Étape suivante