Cette page fournit des conseils sur le type de rôle (prédéfini, personnalisé ou de base) à utiliser pour contrôler l'accès aux Cloud de Confiance ressources.
Voici un résumé de nos recommandations pour choisir le type de rôle à utiliser :
- Nous vous recommandons d'utiliser en priorité des rôles prédéfinis, car ils sont gérés par Google et offrent un équilibre entre sécurité et commodité.
- Si vous avez besoin d'un rôle qui respecte le principe du moindre privilège et que vous ne trouvez pas de rôle prédéfini qui corresponde à vos exigences de sécurité, utilisez des rôles personnalisés.
- N'utilisez pas de rôles de base, sauf si vous n'avez pas d'autre solution ou si vous les utilisez dans un environnement de test.
Quand utiliser des rôles prédéfinis
En règle générale, nous vous recommandons d'utiliser des rôles prédéfinis plutôt que des rôles de base ou personnalisés. Les rôles prédéfinis offrent un accès précis à des Cloud de Confiance ressources spécifiques, sont gérés par Google et sont mis à jour automatiquement lorsque de nouvelles autorisations, fonctionnalités ou services sont ajoutés à Cloud de Confiance.
Nous vous recommandons de privilégier les rôles prédéfinis qui contiennent toutes les autorisations dont un utilisateur est susceptible d'avoir besoin pour un cas d'utilisation donné. La plupart des services fournissent des rôles d'administrateur, d'éditeur et de lecteur généraux qui répondent à cet objectif. Par exemple, le rôle d'administrateur Bigtable fournit des autorisations d'administration pour créer de nouvelles instances et accéder à toutes les données de table d'un projet, tandis que le rôle de lecteur restreint Bigtable fournit un accès en lecture seule à Bigtable dans la Cloud de Confiance console.
Toutefois, dans certains cas, vous pouvez être amené à utiliser des rôles personnalisés ou de base. Les sections suivantes décrivent ces cas.
Quand utiliser des rôles personnalisés
Contrairement aux rôles prédéfinis, les rôles personnalisés ne sont pas gérés par Google. Cela signifie que lorsque Cloud de Confiance ajoute de nouvelles autorisations, fonctionnalités ou services, vos rôles personnalisés ne sont pas mis à jour automatiquement. Pour cette raison, nous vous recommandons d'accorder les rôles prédéfinis les plus limités qui répondent à vos besoins.
Toutefois, il peut être judicieux de créer et d'accorder des rôles personnalisés dans les cas suivants :
- Un compte principal a besoin d'une autorisation, mais chaque rôle prédéfini qui inclut cette autorisation inclut également des autorisations dont le compte principal n'a pas besoin et dont il ne devrait pas disposer.
Lorsque vous utilisez des rôles personnalisés, tenez compte des limites suivantes :
- Les rôles personnalisés peuvent contenir jusqu'à 3 000 autorisations.
- La taille totale maximale du titre, de la description et des noms d'autorisations pour un rôle personnalisé est de 64 ko.
Le nombre de rôles personnalisés que vous pouvez créer est limité :
- Vous pouvez créer jusqu'à 300 rôles personnalisés au niveau de l'organisation dans votre organisation.
- Vous pouvez créer jusqu'à 300 rôles personnalisés au niveau du projet dans chaque projet de votre organisation.
Quand utiliser des rôles de base
Les rôles de base incluent des milliers d'autorisations pour tous les Cloud de Confiance services. Dans les environnements de production, n'accordez pas de rôles de base, sauf s'il n'existe pas d'autre solution. Accordez plutôt les rôles prédéfinis ou personnalisés les plus limités qui répondent à vos besoins.
Il peut être judicieux d'accorder des rôles de base lorsque vous souhaitez accorder des autorisations plus larges pour un projet. Cela se produit souvent lorsque vous accordez des autorisations dans des environnements de développement ou de test.
Étape suivante
- Découvrez comment trouver les rôles prédéfinis adaptés.
- Découvrez comment créer des rôles personnalisés.
- Apprenez-en plus sur les rôles de base.