Cette page décrit les limites d'accès aux identifiants, que vous pouvez utiliser pour downscope ou restreindre les autorisations IAM (Identity and Access Management) qu'un identifiant de courte durée peut utiliser.
Vous pouvez utiliser les limites d'accès aux identifiants pour générer des jetons d'accès OAuth 2.0 qui représentent un compte de service, mais qui disposent de moins d'autorisations que le compte de service. Par exemple, si l'un de vos clients doit accéder aux données Cloud Storage que vous contrôlez, vous pouvez procéder comme suit :
- Créez un compte de service pouvant accéder à tous les bucket Cloud Storage dont vous êtes propriétaire.
- Générez un jeton d'accès OAuth 2.0 pour un compte de service :
- Appliquez une limite d'accès aux identifiants qui autorise uniquement l'accès au bucket contenant les données de votre client.
Fonctionnement des limites d'accès aux identifiants
Pour réduire le champ d'application des autorisations, vous définissez une limite d'accès aux identifiants qui spécifie les ressources auxquelles l'identifiant éphémère peut accéder, ainsi que la limite supérieure des autorisations disponibles pour chaque ressource. Vous pouvez ensuite créer un identifiant éphémère, puis l'échanger contre un identifiant qui respecte la limite d'accès aux identifiants.
Si vous souhaitez octroyer aux comptes principaux un ensemble distinct d'autorisations pour chaque session, l'utilisation des limites d'accès aux identifiants peut s'avérer plus efficace que la création de nombreux comptes et l'octroi d'un ensemble différent de rôles à chaque compte de service.
Composants d'une limite d'accès aux identifiants
Une limite d'accès aux identifiants est un objet qui contient une liste de règles de limite d'accès. Chaque règle contient les informations suivantes :
- La ressource à laquelle s'applique la règle.
- La limite supérieure des autorisations disponibles pour cette ressource.
- Facultatif : une condition qui limite davantage les autorisations. Une condition inclut les éléments suivants :
- Une expression de condition qui renvoie
trueoufalse. Si elle renvoietrue, l'accès est autorisé. Sinon, l'accès est refusé. - Facultatif : un titre identifiant la condition.
- Facultatif : une description contenant des informations complémentaires sur la condition.
- Une expression de condition qui renvoie
Si vous appliquez une limite d'accès à un identifiant éphémère, celui-ci ne peut accéder qu'aux ressources spécifiées dans la limite d'accès aux identifiants. Aucune autorisation n'est disponible pour les autres ressources.
Une limite d'accès aux identifiants peut contenir jusqu'à 10 règles de limite d'accès. Vous ne pouvez appliquer qu'une seule limite d'accès par identifiant éphémère.
Lorsqu'elle est représentée sous la forme d'un objet JSON, une limite d'accès aux identifiants contient les champs suivants :
| Champs | |
|---|---|
accessBoundary |
Wrapper pour la limite d'accès aux identifiants. |
accessBoundary.accessBoundaryRules[] |
Liste des règles de limite d'accès à appliquer à un identifiant éphémère. |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
Liste qui définit la limite supérieure des autorisations disponibles pour la ressource.
Chaque valeur est l'identifiant d'un rôle prédéfini ou d'un rôle personnalisé IAM, avec le préfixe |
accessBoundary.accessBoundaryRules[].availableResource |
Nom de ressource complet du bucket Cloud Storage auquel la règle s'applique. Utilisez le format " |
accessBoundary.accessBoundaryRules[].availabilityCondition |
Facultatif. Condition limitant la disponibilité des autorisations à des objets Cloud Storage spécifiques. Utilisez ce champ si vous souhaitez que les autorisations soient disponibles pour des objets spécifiques plutôt que pour tous les objets d'un bucket Cloud Storage. |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
Expression de condition qui spécifie les objets Cloud Storage pour lesquels des autorisations sont disponibles.
Pour savoir comment faire référence à des objets spécifiques dans une expression de condition, consultez Attribut
|
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
Facultatif. Chaîne courte qui identifie la finalité de la condition. |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
Facultatif. Informations concernant la finalité de la condition. |
Pour obtenir des exemples au format JSON, consultez la section Exemples de limites d'accès aux identifiants sur cette page.
Exemples de limites d'accès aux identifiants
Les sections suivantes présentent des exemples de limites d'accès aux identifiants pour les cas d'utilisation courants. Vous utilisez la limite d'accès aux identifiants lorsque vous échangez un jeton d'accès OAuth 2.0 avec un jeton aux champs d'application limités.
Limiter les autorisations pour un bucket
L'exemple suivant illustre une limite d'accès aux identifiants élémentaire. Elle s'applique au bucket Cloud Storage example-bucket et définit la limite supérieure des autorisations incluses dans le rôle Lecteur d'objets Storage (roles/storage.objectViewer) :
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
Limiter les autorisations pour plusieurs buckets
L'exemple suivant illustre une limite d'accès aux identifiants qui inclut des règles pour plusieurs buckets :
- Le bucket Cloud Storage
example-bucket-1: pour ce bucket, seules les autorisations du rôle "Lecteur des objets Storage" (roles/storage.objectViewer) sont disponibles. - Le bucket Cloud Storage
example-bucket-2: pour ce bucket, seules les autorisations du rôle "Créateur d'objets Storage" (roles/storage.objectCreator) sont disponibles.
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
Limiter les autorisations pour des objets spécifiques
Vous pouvez également utiliser les conditions IAM pour spécifier les objets Cloud Storage auxquels un compte principal peut accéder. Par exemple, vous pouvez ajouter une condition qui rend disponibles les autorisations pour les objets dont le nom commence par customer-a :
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
Limiter les autorisations lors de la création d'une liste d'objets
Lorsque vous répertoriez les objets dans un bucket Cloud Storage, vous appelez une méthode sur une ressource de bucket, et non sur une ressource d'objet. Par conséquent, si une condition est évaluée pour une requête de liste et que la condition fait référence au nom de ressource, ce nom identifie le bucket et non pas un objet dans le bucket. Par exemple, lorsque vous répertoriez des objets dans example-bucket, le nom de la ressource est projects/_/buckets/example-bucket.
Cette convention de dénomination peut entraîner un comportement inattendu lorsque vous répertoriez des objets.
Par exemple, supposons que vous souhaitiez instaurer une limite d'accès aux identifiants qui autorise l'accès en lecture aux objets de example-bucket comportant le préfixe customer-a/invoices/.
Vous pouvez essayer d'utiliser la condition suivante dans la limite d'accès aux identifiants :
Incomplete : condition qui vérifie uniquement le nom de la ressource
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
Cette condition fonctionne pour la lecture d'objets, mais pas pour la création d'une liste des objets :
- Lorsqu'un compte principal tente de lire un objet dans
example-bucketcomportant le préfixecustomer-a/invoices/, la condition renvoie la valeurtrue. - Lorsqu'un compte principal essaie de répertorier des objets comportant ce préfixe, la condition renvoie la valeur
false. La valeur deresource.name, à savoirprojects/_/buckets/example-bucket, ne commence pas parprojects/_/buckets/example-bucket/objects/customer-a/invoices/.
Pour éviter ce type de problème à l'avenir, votre condition peut utiliser resource.name.startsWith() et vérifier un attribut d'API nommé storage.googleapis.com/objectListPrefix. Cet attribut contient la valeur du paramètre prefix utilisé pour filtrer la liste des objets. Par conséquent, vous pouvez écrire une condition faisant référence à la valeur du paramètre prefix.
L'exemple suivant montre comment utiliser l'attribut d'API dans une condition. Cela permet de lire et de répertorier les objets de example-bucket comportant le préfixe customer-a/invoices/ :
Complete : condition qui vérifie le nom de la ressource et le préfixe
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') ||
api.getAttribute('storage.googleapis.com/objectListPrefix', '')
.startsWith('customer-a/invoices/')
Vous pouvez désormais utiliser cette condition dans une limite d'accès aux identifiants :
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
Étapes suivantes
- Découvrez comment créer un identifiant éphémère à champ d'application limité.
- Apprenez-en plus sur le contrôle des accès pour Cloud Storage.
- Consultez les autorisations de chaque rôle prédéfini.
- Apprenez-en plus sur les rôles personnalisés.