GCP IAM

Description

L'IAM (Identity & Access Management) sur GCP comme sur AWS permet aux administrateurs de gérer les accès aux différentes ressources sur le Cloud.

Note: Cependant contrairement à AWS, l'IAM GCP utilise des politiques basées sur les ressources et non sur les identités.

En effet, sur AWS, lorsqu'un compte est compromis il suffit de lister les politiques liées à ce compte pour connaitre ses permissions sur les ressources.

Sur GCP, ce n'est pas possible car les permissions sont affectés aux ressources directement.

Il faut donc enumérer les permissions qu'a l'identité sur chaque ressource.

Le fonctiomment de l'IAM GCP fonctionne donc ainsi:

Diagramme de la documentation officielle

Les politiques contiennent un ensemble de permissions qui sont ensuie associées à des rôles qui eux même contiennent des membres puis sont affectés à une ressource spécifique.

Note: Comme sur Azure, il y a un système d'hérédité descendante (càd que si la politique est appliquée à une organisation, alors elle s'applique à toutes les ressources sous-jacente dans la hiérarchie).

Types de membres

  • Google account

  • Service Account

  • Google Group

  • Google Workspace domain

  • Cloud Identity domain

  • All authenticated users

  • All users (anonymous)

Roles

Il existe trois types de rôles:

  • Les rôles "basiques"

    • Owner

    • Editor

    • Viewer

  • Les rôles "pré-définis": Plus précis / granulaires

  • Les rôles "custom": A défnir soi-même pour des besoins spécifiques.

Dernière mise à jour

Cet article vous a-t-il été utile ?