Dans Identity and Access Management (IAM), vous contrôlez l'accès des principaux. Un principal représente une ou plusieurs identités qui se sont authentifiées auprès de Trusted Cloud.
Utiliser des principaux dans vos stratégies
Pour utiliser des principaux dans vos règles, procédez comme suit:
Configurez les identités que Trusted Cloud peut reconnaître. La configuration des identités consiste à créer des identités que Trusted Cloud peut reconnaître. Vous pouvez configurer des identités pour les utilisateurs et les charges de travail.
Pour savoir comment configurer des identités, consultez les ressources suivantes:
- Pour savoir comment configurer des identités pour les utilisateurs, consultez la page Identités pour les utilisateurs.
- Pour savoir comment configurer des identités pour les charges de travail, consultez la page Identités pour les charges de travail.
Déterminez l'identifiant principal que vous utiliserez. L'identifiant du principal est la façon dont vous faites référence à un principal dans vos règles. Cet identifiant peut faire référence à une identité unique ou à un groupe d'identités.
Le format que vous utilisez pour l'identifiant du principal dépend des éléments suivants:
- Type de compte principal
- Type de stratégie dans laquelle vous souhaitez inclure le principal
Pour connaître le format de l'identifiant principal pour chaque type de compte principal dans chaque type de stratégie, consultez la section Identifiants principaux.
Une fois que vous connaissez le format de l'identifiant, vous pouvez déterminer l'identifiant unique du principal en fonction de ses attributs, tels que son adresse e-mail.
Incluez l'identifiant du principal dans votre stratégie. Ajoutez votre principal à votre stratégie, en respectant le format de la stratégie.
Pour en savoir plus sur les différents types de stratégies dans IAM, consultez la page Types de stratégies.
Compatibilité avec les types de comptes principaux
Chaque type de stratégie IAM est compatible avec un sous-ensemble des types de comptes principaux compatibles avec IAM. Pour connaître les types de comptes principaux compatibles avec chaque type de règle, consultez la section Identifiants principaux.
Types de comptes principaux
IAM est compatible avec les types de comptes principaux suivants:
- Comptes de service
allAuthenticatedUsers
allUsers
- Une ou plusieurs identités fédérées dans un pool d'identités de personnel
- Une ou plusieurs identités fédérées dans un pool d'identités de charge de travail
- Un ensemble de pods Google Kubernetes Engine
Les sections suivantes décrivent ces principaux types plus en détail.
Comptes de service
Un compte de service est un compte destiné à une application ou à une charge de travail de calcul plutôt qu'à un utilisateur final individuel. Lorsque vous exécutez du code hébergé surTrusted Cloud, vous spécifiez un compte de service à utiliser comme identité pour votre application. Vous pouvez créer autant de comptes de service que nécessaire pour représenter les différents composants logiques de votre application.
Pour en savoir plus sur les comptes de service, consultez la section Présentation des comptes de service.
allAuthenticatedUsers
La valeur allAuthenticatedUsers
est un identifiant spécial qui représente tous les comptes de service.
Ce type d'entité principale n'inclut pas les identités fédérées, qui sont gérées par des fournisseurs d'identité (IdP) externes. Pour inclure des identités fédérées, utilisez l'une des options suivantes:
- Pour inclure les utilisateurs de tous les IdP, utilisez
allUsers
. - Pour inclure les utilisateurs d'IdP externes spécifiques, utilisez l'identifiant pour toutes les identités d'un pool d'identités de personnel ou toutes les identités d'un pool d'identités de charge de travail.
Certains types de ressources ne sont pas compatibles avec ce type de compte principal.
allUsers
La valeur allUsers
est un identifiant spécial qui représente toute personne ayant accès à Internet, y compris les utilisateurs authentifiés et non authentifiés.
Certains types de ressources ne sont pas compatibles avec ce type de compte principal.
Identités fédérées dans un pool d'identités de personnel
Une identité fédérée dans un pool d'identités de personnel est une identité utilisateur gérée par un IdP externe et fédérée à l'aide de la fédération des identités des employés. Vous pouvez utiliser une identité spécifique dans un pool d'identités de personnel ou certains attributs pour spécifier un groupe d'identités utilisateur dans un pool d'identités de personnel.
Identités fédérées dans un pool d'identités de charge de travail
Une identité fédérée dans un pool d'identités de charge de travail est une identité de charge de travail gérée par un IdP externe et fédérée à l'aide de la fédération d'identité de charge de travail. Vous pouvez utiliser une identité de charge de travail spécifique dans un pool d'identités de charge de travail ou certains attributs pour spécifier un groupe d'identités de charge de travail dans un pool d'identités de charge de travail.
Pods GKE
Les charges de travail exécutées sur GKE utilisent Workload Identity Federation for GKE pour accéder aux services Trusted Cloud . Pour en savoir plus sur les identifiants principaux des pods GKE, consultez la section Référencer des ressources Kubernetes dans les stratégies IAM.
Étape suivante
- En savoir plus sur les types de stratégies compatibles avec IAM
- Attribuer un rôle à un compte principal sur un projet, un dossier ou une organisation Resource Manager