Identity and Access Management (IAM) propose plusieurs types de stratégies pour vous aider à contrôler les ressources auxquelles les comptes principaux peuvent accéder. Cette page vous aide à comprendre les différences entre l'utilisation et la gestion de ces types de règles.
Types de stratégies IAM dans Cloud de Confiance
IAM propose les types de stratégies suivants :
- Règles d'autorisation
- Stratégies de refus
Le tableau suivant récapitule les différences entre ces types de règles :
| Stratégie | Fonction de stratégie | API utilisée pour gérer la règle | Relation entre les règles et les cibles | Méthode d'association des règles à la cible | Ressource parente de la règle |
|---|---|---|---|---|---|
| Règles d'autorisation | Accorder aux comptes principaux l'accès aux ressources | API de la ressource pour laquelle vous souhaitez gérer les règles d'autorisation |
Relation un-à-un Chaque stratégie d'autorisation est associée à une ressource, et chaque ressource ne peut avoir qu'une seule stratégie d'autorisation. |
Spécifier la ressource lors de la création de la règle | Identique à la ressource à laquelle la stratégie d'autorisation est associée |
| Stratégies de refus | S'assurer que les comptes principaux ne peuvent pas utiliser d'autorisations spécifiques | L'API IAM v2 |
Relation un à plusieurs Chaque stratégie de refus est associée à une ressource. Chaque ressource peut comporter jusqu'à 500 stratégies de refus. |
Spécifier une ressource lors de la création de la règle de refus | Identique à la ressource à laquelle la stratégie de refus est associée |
Les sections suivantes fournissent des informations sur chaque type de règlement.
Stratégies permettant d'accorder l'accès aux comptes principaux
Pour accorder aux principaux l'accès aux ressources, utilisez l'une des stratégies suivantes :
- Utilisez les règles d'autorisation pour accorder l'accès à n'importe quel type de ressource.
- Utilisez des règles d'accès pour accorder l'accès aux ressources Eventarc.
Les stratégies d'autorisation vous permettent d'accorder l'accès aux ressources dans Cloud de Confiance. Les stratégies d'autorisation sont composées de liaisons de rôles et de métadonnées. Les liaisons de rôle spécifient les comptes principaux qui doivent disposer d'un certain rôle sur la ressource.
Les règles d'autorisation sont toujours associées à une seule ressource. Une fois que vous avez associé une stratégie d'autorisation à une ressource, la stratégie est héritée par les descendants de cette ressource.
Pour créer et appliquer une stratégie d'autorisation, identifiez une ressource qui accepte les stratégies d'autorisation, puis utilisez la méthode setIamPolicy de cette ressource pour créer la stratégie d'autorisation. Tous les comptes principaux de la stratégie d'autorisation se voient attribuer les rôles spécifiés sur la ressource et sur tous ses descendants. Chaque ressource ne peut être associée qu'à une seule stratégie d'autorisation.
Pour en savoir plus sur les stratégies d'autorisation, consultez la section Comprendre les stratégies d'autorisation.
Stratégies pour refuser l'accès aux comptes principaux
Pour refuser l'accès des principaux aux ressources, utilisez l'une des méthodes suivantes :
- Utilisez des stratégies de refus pour refuser l'accès à n'importe quel type de ressource.
- Utilisez des règles d'accès pour refuser l'accès aux ressources Eventarc.
Les stratégies de refus, comme les stratégies d'autorisation, sont toujours associées à une seule ressource. Vous pouvez associer une stratégie de refus à un projet, un dossier ou une organisation. Ce projet, ce dossier ou cette organisation sert également de parent à la règle dans la hiérarchie des ressources. Une fois que vous avez associé une stratégie de refus à une ressource, la stratégie est héritée par les descendants de cette ressource.
Pour créer et appliquer des stratégies de refus, vous utilisez l'API IAM v2. Lorsque vous créez une stratégie de refus, vous spécifiez la ressource à laquelle elle est associée. Tous les comptes principaux de la stratégie de refus sont empêchés d'utiliser les autorisations spécifiées pour accéder à cette ressource et à ses descendants. Chaque ressource peut être associée à 500 stratégies de refus au maximum.
Pour en savoir plus sur les stratégies de refus, consultez Stratégies de refus.
Évaluation de la stratégie
Lorsqu'un compte principal tente d'accéder à une ressource, IAM évalue toutes les stratégies d'autorisation et de refus pertinentes pour vérifier si le compte principal est autorisé à accéder à la ressource. Si l'une de ces stratégies indique que le compte principal ne doit pas pouvoir accéder à la ressource, IAM l'empêche d'y accéder.
En réalité, IAM évalue tous les types de stratégies simultanément, puis compile les résultats pour déterminer si l'entité principale peut accéder à la ressource. Toutefois, il peut être utile de considérer que l'évaluation des règles se déroule en plusieurs étapes :
-
Cloud IAM vérifie toutes les stratégies de refus pertinentes pour voir si le compte principal a été refusé. Les stratégies de refus applicables sont les stratégies de refus associées à la ressource, ainsi que les stratégies de refus héritées.
- Si l'une de ces stratégies de refus empêche le compte principal d'utiliser une autorisation requise, IAM l'empêche d'accéder à la ressource.
- Si aucune stratégie de refus n'empêche le compte principal d'utiliser une autorisation requise, IAM passe à l'étape suivante.
-
Cloud IAM vérifie toutes les stratégies d'autorisation pertinentes pour voir si le compte principal dispose des autorisations requises. Les stratégies d'autorisation pertinentes sont les stratégies d'autorisation associées à la ressource, ainsi que toutes les stratégies d'autorisation héritées.
- Si le compte principal ne dispose pas des autorisations requises, IAM l'empêche d'accéder à la ressource.
- Si le compte principal dispose des autorisations requises, IAM lui permet d'accéder à la ressource.
Le schéma suivant illustre ce flux d'évaluation des stratégies :
Étape suivante
- En savoir plus sur les stratégies d'autorisation.
- En savoir plus sur les stratégies de refus.