Comptes principaux IAM

Dans Identity and Access Management (IAM), vous contrôlez l'accès des comptes principaux. Un compte principal représente une ou plusieurs identités authentifiées auprès de Google Cloud.

Utiliser des principaux dans vos règles

Pour utiliser des principaux dans vos règles, procédez comme suit :

  1. Configurez les identités que Google Cloud peut reconnaître. La configuration des identités consiste à créer des identités que Google Cloud peut reconnaître. Vous pouvez configurer des identités pour les utilisateurs et les charges de travail.

    Pour savoir comment configurer les identités, consultez les ressources suivantes :

  2. Déterminez l'identifiant principal que vous utiliserez. L'identifiant principal est la façon dont vous faites référence à un principal dans vos règles. Cet identifiant peut faire référence à une identité unique ou à un groupe d'identités.

    Le format que vous utilisez pour l'identifiant du compte principal dépend des éléments suivants :

    • Type de compte principal
    • Type de stratégie dans laquelle vous souhaitez inclure le compte principal

    Pour connaître le format de l'identifiant principal pour chaque type de compte principal dans chaque type de règle, consultez Identifiants principaux.

    Une fois que vous connaissez le format de l'identifiant, vous pouvez déterminer l'identifiant unique du compte principal en fonction de ses attributs, tels que son adresse e-mail.

  3. Incluez l'identifiant du compte principal dans votre règle. Ajoutez votre compte principal à votre règle, en respectant le format de la règle.

    Pour en savoir plus sur les différents types de règles dans IAM, consultez Types de règles.

Compatibilité avec les types de comptes principaux

Chaque type de stratégie IAM est compatible avec un sous-ensemble des types de comptes principaux acceptés par IAM. Pour connaître les types de comptes principaux compatibles avec chaque type de règle, consultez Identifiants principaux.

Types de comptes principaux

IAM est compatible avec les types de comptes principaux suivants :

Les sections suivantes décrivent ces principaux types plus en détail.

Comptes Google

Un compte Google représente un développeur, un administrateur ou toute autre personne qui interagit avec Google Cloud à l'aide d'un compte qu'elle a créé avec Google. Toute adresse e-mail associée à un compte Google, également appelé compte utilisateur géré, peut être utilisée comme principal. Cela inclut les adresses e-mail gmail.com et les adresses e-mail avec d'autres domaines.

Dans vos règles d'autorisation et de refus, les alias d'adresse e-mail associés à un compte Google ou à un compte utilisateur géré sont automatiquement remplacés par l'adresse e-mail principale. Cela signifie que le règlement affiche l'adresse e-mail principale de l'utilisateur lorsque vous accordez l'accès à un alias d'adresse e-mail.

Pour en savoir plus sur la configuration des comptes Google, consultez Comptes Cloud Identity ou Google Workspace.

Comptes de service

Un compte de service est un compte destiné à une application ou à une charge de travail de calcul plutôt qu'à un utilisateur final individuel. Lorsque vous exécutez du code hébergé surGoogle Cloud, vous spécifiez un compte de service à utiliser comme identité pour votre application. Vous pouvez créer autant de comptes de service que nécessaire pour représenter les différents composants logiques de votre application.

Pour en savoir plus sur les comptes de service, consultez la présentation des comptes de service.

Groupes Google

Un groupe Google est une collection nommée de comptes Google. Chaque groupe Google possède une adresse e-mail unique qui lui est associée. Vous pouvez trouver l'adresse e-mail associée à un groupe Google en accédant à sa page d'accueil, puis en cliquant sur À propos de. Pour en savoir plus sur les groupes Google, consultez la page d'accueil correspondante.

Les groupes Google constituent un moyen pratique d'appliquer des contrôles d'accès à un ensemble de principaux. Vous pouvez accorder et modifier les accès pour tout un groupe à la fois, plutôt que d'effectuer cette action pour chaque principal individuel. Vous pouvez également ajouter des comptes principaux à un groupe Google ou en supprimer, au lieu de mettre à jour une stratégie d'autorisation pour ajouter ou supprimer des comptes principaux.

Les groupes Google ne disposent pas d'identifiants de connexion et vous ne pouvez pas utiliser ces groupes pour établir une identité afin de demander l'accès à une ressource.

Pour en savoir plus sur l'utilisation des groupes pour le contrôle des accès, consultez Bonnes pratiques pour l'utilisation des groupes Google.

Comptes Google Workspace

Un compte Google Workspace représente un groupe virtuel de tous les comptes Google qu'il contient. Les comptes Google Workspace sont associés au nom de domaine Internet de votre organisation, lequel se présente sous la forme example.com. Lorsque vous créez un compte Google pour un nouvel utilisateur, tel que username@example.com, ce compte Google est ajouté au groupe virtuel dépendant de votre compte Google Workspace.

Comme les groupes Google, les comptes Google Workspace ne peuvent pas être utilisés pour établir une identité, mais ils permettent une gestion pratique des autorisations.

Domaines Cloud Identity

Un domaine Cloud Identity est semblable à un domaine Google Workspace, car il représente un groupe virtuel de tous les comptes Google d'une entreprise. Toutefois, les utilisateurs de domaines Cloud Identity n'ont pas accès aux applications et aux fonctionnalités de Google Workspace. Pour en savoir plus, consultez la section À propos de Cloud Identity.

Dans vos règles d'autorisation et de refus, les domaines secondaires sont automatiquement remplacés par le domaine principal. Cela signifie que la stratégie affiche le domaine principal lorsque vous accordez l'accès à un domaine secondaire.

allAuthenticatedUsers

La valeur allAuthenticatedUsers est un identifiant spécial qui représente tous les comptes de service et tous les internautes qui se sont authentifiés avec un compte Google. Cet identifiant inclut les comptes qui ne sont pas associés à un compte Google Workspace ou à un domaine Cloud Identity, tels que des comptes personnels Gmail. Les utilisateurs non authentifiés, tels que les visiteurs anonymes, ne sont pas pris en compte.

Ce type d'entité principale n'inclut pas les identités fédérées, qui sont gérées par des fournisseurs d'identité (IdP) externes. Si vous utilisez la fédération d'identité de personnel ou la fédération d'identité de charge de travail, n'utilisez pas allAuthenticatedUsers. Optez plutôt pour l'une des solutions suivantes :

Certains types de ressources ne sont pas compatibles avec ce type de compte principal.

allUsers

La valeur allUsers est un identifiant spécial qui représente toute personne ayant accès à Internet, y compris les utilisateurs authentifiés et non authentifiés.

Certains types de ressources ne sont pas compatibles avec ce type de compte principal.

Identités fédérées dans un pool d'identités de personnel

Une identité fédérée dans un pool d'identités de personnel est une identité utilisateur gérée par un IdP externe et fédérée à l'aide de la fédération des identités des employés. Vous pouvez utiliser une identité spécifique dans un pool d'identités de personnel ou certains attributs pour spécifier un groupe d'identités utilisateur dans un pool d'identités de personnel.

Identités fédérées dans un pool d'identités de charge de travail

Une identité fédérée dans un pool d'identités de charge de travail est une identité de charge de travail gérée par un IdP externe et fédérée à l'aide de la fédération d'identité de charge de travail. Vous pouvez utiliser une identité de charge de travail spécifique dans un pool d'identités de charge de travail, ou utiliser certains attributs pour spécifier un groupe d'identités de charge de travail dans un pool d'identités de charge de travail.

Pods GKE

Les charges de travail exécutées sur GKE utilisent Workload Identity Federation for GKE pour accéder aux services Google Cloud . Pour en savoir plus sur les identifiants principaux des pods GKE, consultez Faire référence aux ressources Kubernetes dans les stratégies IAM.

Ensembles de comptes principaux Resource Manager

Chaque ressource Resource Manager (projets, dossiers et organisations) est associée à un ensemble de comptes principaux. Lorsque vous créez des liaisons de stratégie de limite d'accès des comptes principaux, vous pouvez utiliser l'ensemble de comptes principaux d'une ressource Resource Manager pour faire référence à tous les comptes principaux associés à cette ressource.

Les ensembles de comptes principaux pour les ressources Resource Manager contiennent les comptes principaux suivants :

  • Ensemble de comptes principaux du projet : tous les comptes de service et pools d'identités de charge de travail du projet spécifié.
  • Ensemble de comptes principaux du dossier : tous les comptes de service et tous les pools d'identités de charge de travail de n'importe quel projet du dossier spécifié.

  • Ensemble de comptes principaux de l'organisation : contient les identités suivantes :

    • Toutes les identités de tous les domaines associés à votre numéro client Google Workspace
    • Tous les pools d'identités de personnel de votre organisation
    • Tous les comptes de service et pools d'identités de charge de travail de n'importe quel projet de l'organisation

Étapes suivantes