Contrôle des accès avec IAM

Cette page décrit les autorisations et les rôles Infrastructure Manager.

Infra Manager utilise Identity and Access Management (IAM) pour contrôler l'accès au service. Pour accorder l'accès au déploiement de ressources avec Infra Manager, attribuez les rôles IAM Infra Manager nécessaires au compte de service que vous utilisez pour appeler Infra Manager. Pour savoir comment accorder des autorisations aux comptes de service, consultez Gérer l'accès aux comptes de service.

Un compte de service n'est pas nécessaire pour afficher les déploiements, les révisions et les règles IAM d'Infra Manager. Pour afficher Infra Manager, accordez l'accès à l'utilisateur, au groupe ou au compte de service.

Pour déployer ou afficher les ressources Google Cloud définies dans la configuration Terraform, vous devez accorder au compte de service les autorisations spécifiques à ces ressources. Ces autorisations s'ajoutent à celles d'Infra Manager listées sur cette page. Pour obtenir la liste de tous les rôles et des autorisations qu'ils contiennent, consultez la documentation de référence sur les rôles de base et prédéfinis pour Identity and Access Management.

Rôles Infra Manager prédéfinis

IAM fournit des rôles prédéfinis qui accordent l'accès à des ressources Google Cloud spécifiques et empêchent les accès non autorisés aux autres ressources.

Le tableau suivant répertorie les rôles IAM Infra Manager et les autorisations associées :

Rôle Description Autorisations
Administrateur Infra Manager (roles/config.admin) Contrôle total des ressources Infra Manager pour un utilisateur config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deployments.setIamPolicy
config.deployments.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Agent de service Infra Manager (roles/config.agent) Accorder à un compte de service l'accès à Infra Manager pour qu'il puisse gérer les déploiements, les révisions, la journalisation et les fichiers d'état Terraform storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
Compte de service Infra Manager (roles/cloudconfig.serviceAgent) Lorsque vous activez l'API Infra Manager, le compte de service Infra Manager est automatiquement créé dans le projet et dispose de ce rôle pour les ressources du projet. Le compte de service Infra Manager utilise ce rôle uniquement selon les besoins pour effectuer des actions lors de la création, de la gestion ou de la suppression de déploiements et de révisions. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Lecteur Infra Manager (roles/config.viewer) Lire les déploiements, les révisions et les stratégies IAM. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

En plus des rôles prédéfinis Infra Manager, les rôles de base Lecteur et Propriétaire incluent également des autorisations associées à Infra Manager. Cependant, nous vous recommandons d'attribuer des rôles prédéfinis lorsque cela est possible afin de respecter le principe de sécurité du moindre privilège.

Le tableau suivant répertorie les rôles de base et les rôles IAM Infra Manager associés.

Rôle Inclus le rôle
Lecteur roles/config.viewer
Propriétaire roles/config.admin

Autorisations

Les autorisations dont l'appelant doit disposer pour appeler chaque méthode sont listées dans la documentation de référence de l'API REST.

Étapes suivantes