Présentation

Dans cet atelier, vous allez configurer Identity and Access Management (IAM) pour attribuer des rôles et créer des rôles personnalisés. IAM vous permet de créer et de gérer des autorisations pour les ressources Google Cloud. Cette solution unifie le contrôle des accès pour les services Google Cloud au sein d'un seul système et présente un ensemble cohérent d'opérations.

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

• Utiliser IAM pour implémenter le contrôle des accès
• Restreindre l'accès à certaines fonctionnalités ou ressources
• Accorder l'accès à Google Cloud à l'aide de rôles prédéfinis
• Créer des rôles IAM personnalisés pour attribuer des autorisations en fonction de vos rôles métier spécifiques
• Modifier des rôles personnalisés

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
   Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

5. Cliquez sur Ouvrir la console Google.

6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
   Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Se connecter avec deux comptes utilisateur

Dans cette tâche, vous allez vous connecter à l'aide de deux comptes utilisateur différents. Plus tard dans l'atelier, vous vous servirez de ces comptes pour explorer l'accès IAM à des ressources spécifiques.

Se connecter à la console Google Cloud en tant que premier utilisateur

Pour cet atelier, Qwiklabs vous fournit deux noms d'utilisateur, disponibles dans la boîte de dialogue Détails de connexion.

1. Ouvrez une fenêtre de navigation privée Chrome et connectez-vous à la console Cloud avec le compte Username 1 fourni dans Qwiklabs. Notez que le même mot de passe est associé aux deux noms d'utilisateur.
2. Acceptez les conditions d'utilisation de votre compte Google temporaire.
3. Comme il s'agit d'un compte temporaire, vous n'avez pas besoin d'ajouter de données pour les options de récupération ni de vous inscrire à des essais.
4. Lorsque vous y êtes invité, acceptez les conditions d'utilisation de Google Cloud.

Se connecter à la console Cloud en tant que deuxième utilisateur

1. Ouvrez un nouvel onglet de navigateur dans la fenêtre de navigation privée.
2. Accédez à la console Cloud.
3. Cliquez sur l'icône d'utilisateur située en haut à droite de l'écran, puis sur Ajouter un compte.
4. Connectez-vous à la console Cloud avec le compte Username 2 fourni dans Qwiklabs.

Remarque : À certaines étapes de cet atelier, si vous vous déconnectez du compte Username 1, Qwiklabs supprime le compte Username 2. Vous devez donc rester connecté au compte Username 1.

Tâche 2 : Parcourir les rôles actuels dans la console IAM

Dans cette tâche, vous allez découvrir les rôles actuels associés aux comptes Username 1 et Username 2.

Accéder à la console IAM et parcourir les rôles

Assurez-vous que vous vous trouvez bien dans l'onglet Username 1 de la console Cloud.

1. Pour afficher la console IAM, accédez au menu de navigation, puis cliquez sur IAM et administration > IAM.
2. Dans la console IAM, recherchez la ligne correspondant au compte Username 1. Notez que le compte Username 1 dispose de quelques rôles, y compris celui de Propriétaire du projet.
3. Recherchez la ligne correspondant au compte Username 2. Notez que le compte Username 2 dispose du rôle Lecteur du projet.

Remarque : Lors des trois prochaines étapes, veillez à NE MODIFIER AUCUNE des autorisations. Vous n'utiliserez le bouton "Modifier" que pour afficher les rôles attribués.

4. Cliquez sur le bouton "Modifier le compte principal" () sur la ligne du compte Username 2.
5. Cliquez sur Lecteur pour développer la liste des rôles disponibles. Ne modifiez pas encore les rôles, même si vous y êtes autorisé étant donné que le compte Username 1 est propriétaire du projet.
6. Cliquez en dehors de la liste des rôles pour la réduire, puis cliquez sur Annuler.
7. Accédez à l'onglet du compte Username 2 dans la console Cloud.
8. Dans le menu de navigation, cliquez sur IAM et administration > IAM.
9. Cliquez sur le bouton "Modifier le compte principal" () sur la ligne du compte Username 2. Vous ne pouvez pas modifier le rôle. Le compte Username 2 peut actuellement afficher le projet (rôle de lecteur de projet), mais n'est pas autorisé à apporter des modifications.

Tâche 3 : Préparer une ressource pour tester l'accès

Dans cette tâche, vous allez créer un bucket Cloud Storage et un exemple de fichier texte. Vous allez également tester l'accès à l'exemple de fichier à l'aide du compte Username 2.

Créer un bucket et importer un exemple de fichier

1. Passez à l'onglet Username 1 de la console Cloud.
2. Dans la barre de titre de la console Google Cloud, cliquez sur Activer Cloud Shell (). Si vous y êtes invité, cliquez sur Continuer.
3. Exécutez la commande suivante pour créer un bucket de stockage dans  :

gcloud storage buckets create -l {{{project_0.default_region | Region}}} gs://$DEVSHELL_PROJECT_ID

4. Exécutez la commande suivante pour créer un exemple de fichier texte dans Cloud Shell :

echo "ceci est un exemple de fichier" > sample.txt

5. Exécutez la commande suivante pour copier le fichier dans le bucket que vous venez de créer :

gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

Cliquez sur Vérifier ma progression pour valider l'objectif. Préparer une ressource pour tester l'accès

Vérifier l'accès du rôle de lecteur de projet

1. Passez à l'onglet Username 2 dans la console Cloud.
2. Cliquez sur Activer Cloud Shell () pour ouvrir Cloud Shell. Cliquez sur Continuer si vous y êtes invité.
3. Exécutez la commande suivante pour vérifier que le compte Username 2 peut afficher le fichier dans le bucket :

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

4. Exécutez les commandes suivantes pour créer un fichier et tenter de l'importer dans le bucket :

echo "this is another file" > sample2.txt gcloud storage cp sample2.txt gs://$DEVSHELL_PROJECT_ID

Le compte Username 2 ne peut pas importer le fichier dans Cloud Storage, car il ne dispose que du rôle de lecteur de projet.

Résultat :

Copying file://sample2.txt ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.create access to the Google Cloud Storage object.

Tâche 4 : Supprimer l'accès au projet

Dans cette tâche, vous allez supprimer le rôle de lecteur de projet du compte Username 2. Vous allez également vérifier que le compte Username 2 n'a plus accès au bucket Cloud Storage.

Supprimer le rôle de lecteur de projet pour Username 2

1. Passez à l'onglet Username 1 de la console Cloud.
2. Dans le menu de navigation, cliquez sur IAM et administration > IAM.
3. Cliquez sur l'icône de modification en forme de crayon  sur la ligne du compte Username 2.
4. Cliquez sur l'icône de suppression à côté du rôle attribué.
5. Cliquez sur Enregistrer.

Vous remarquerez que l'utilisateur a disparu de la liste. Il n'a donc plus accès au projet. Le compte Username 2 dispose toujours d'un compte Google Cloud, mais n'a plus accès au projet.

Vérifier que l'accès de Username 2 a été supprimé

1. Passez à l'onglet Username 2 dans la console Cloud.
2. Exécutez la commande suivante dans Cloud Shell pour vérifier que le compte Username 2 ne peut plus afficher le fichier dans le bucket :

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Résultat :

ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.list access to the Google Cloud Storage bucket.

3. Si vous pouvez toujours afficher le fichier, cela signifie que la modification d'accès n'a pas encore été prise en compte. Patientez une minute, puis exécutez de nouveau la commande jusqu'à ce que le message Permission denied on resource (Autorisation refusée pour la ressource) s'affiche.
4. Dans la console du compte Username 2, essayez d'accéder au service Compute Engine. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM. Vous ne pouvez pas afficher le tableau de bord Compute Engine.

Remarque : Username 2 dispose toujours d'un compte Google Cloud, mais n'a plus accès au projet depuis la console Cloud ou la CLI.

Tâche 5 : Ajouter un accès à l'espace de stockage

Dans cette tâche, vous allez accorder des autorisations de lecteur des objets Storage au compte Username 2 et vérifier que l'utilisateur peut afficher le contenu du bucket Cloud Storage.

Ajouter uniquement des autorisations de lecteur des objets Storage au compte Username 2

1. Copiez la valeur de Username 2 à partir de la boîte de dialogue Détails de connexion de Qwiklabs.
2. Passez à l'onglet Username 1 de la console Cloud.
3. Dans le menu de navigation, cliquez sur IAM et administration > IAM.
4. Cliquez sur ACCORDER L'ACCÈS pour ajouter un utilisateur.
5. Dans le champ Nouveaux comptes principaux, collez la valeur Username 2 que vous avez copiée depuis la boîte de dialogue Détails de connexion de Qwiklabs.

À l'étape suivante, vous allez accorder des autorisations de lecteur des objets Storage au compte Username 2 à l'aide d'un rôle prédéfini. N'hésitez pas à parcourir les rôles prédéfinis disponibles.

6. Dans le champ Sélectionnez un rôle, cliquez sur Cloud Storage > Lecteur des objets Storage.

7. Cliquez sur Enregistrer.

Vérifier que Username 2 dispose d'un accès au stockage

1. Passez à l'onglet Username 2 dans la console Cloud.

Remarque : Le compte Username 2 ne dispose pas du rôle de lecteur de projet. Il n'a donc pas accès au projet ni aux ressources associées dans la console Cloud. Par exemple, le compte Username 2 ne peut toujours pas afficher le tableau de bord Compute Engine. Il dispose toutefois d'un accès spécifique à Cloud Storage et peut effectuer des appels d'API pour consulter l'espace de stockage.

2. Exécutez la commande suivante dans Cloud Shell pour afficher le contenu du bucket que vous avez créé précédemment :

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Comme vous pouvez le constater, Username 2 dispose désormais d'un accès limité à Cloud Storage.

Tâche 6 : Créer des rôles personnalisés

Dans cette tâche, vous allez créer un rôle personnalisé pour la fonction d'examinateur de la confidentialité. Ce rôle examine la confidentialité des données et a besoin d'autorisations pour afficher les données dans différents services, tels que Cloud Storage, Cloud Bigtable et Cloud Spanner.

Vous pouvez également créer des rôles personnalisés dans Google Cloud. Les rôles personnalisés permettent de mapper les rôles spécifiques aux tâches de votre organisation aux autorisations Google Cloud. Un rôle personnalisé peut regrouper les autorisations de plusieurs services Google Cloud en un seul rôle et être accordé dans l'ensemble de votre organisation.

Important : En règle générale, il est préférable d'utiliser d'abord les rôles prédéfinis, car ils sont gérés par Google. Les rôles personnalisés permettent de définir des autorisations spécifiques, mais augmentent les coûts opérationnels, car ils doivent être gérés manuellement.

Vous pouvez également créer des rôles personnalisés sur la base d'un rôle prédéfini existant. Cependant, si le rôle prédéfini sur lequel est basé votre rôle personnalisé est modifié après la création du rôle personnalisé, ce dernier n'hérite pas des modifications apportées.

Pour créer un rôle personnalisé, un appelant doit disposer de l'autorisation iam.roles.create. Par défaut, le propriétaire d'un projet ou d'une organisation possède cette autorisation, et peut créer et gérer des rôles personnalisés. Dans cet atelier, le compte Username 1 est propriétaire de projet.

Créer un rôle personnalisé à l'aide de la console Cloud

1. Passez à l'onglet Username 1 de la console Cloud.
2. Dans le menu de navigation, cliquez sur IAM et administration > IAM. Cette page affiche actuellement tous les rôles prédéfinis. Notez qu'ils sont nombreux (les rôles sont répertoriés sur plusieurs centaines de pages).
3. Cliquez sur Créer un rôle.
4. Définissez les valeurs suivantes dans les propriétés du rôle :

Titre	Description	ID	Étape de lancement du rôle
Privacy Reviewer	Custom role to perform data reviews	privacyreviewer	Alpha

Les valeurs de chacun des espaces réservés sont décrites ci-dessous :

• Le titre est un titre convivial pour le rôle, par exemple "Lecteur de rôles".
• La description est une brève description du rôle, par exemple, "La description de mon rôle personnalisé".
• L'ID doit être unique.
• L'étape de lancement du rôle indique le stade d'un rôle dans le cycle de lancement (par exemple, Alpha, Bêta, DG ou obsolète).

5. Cliquez sur Ajouter des autorisations.
6. Dans le champ Filtrer, saisissez storage, puis appuyez sur Entrée.
7. Sélectionnez storage.buckets.list, storage.objects.list et storage.objects.get, puis cliquez sur Ajouter.

Remarque : Vous devrez peut-être afficher les pages suivantes pour ajouter les autorisations requises.

8. Cliquez à nouveau sur Ajouter des autorisations.
9. Dans le champ Filtrer, saisissez spanner, puis appuyez sur Entrée.
10. Sélectionnez spanner.databases.get et spanner.databases.list, puis cliquez sur Ajouter.
11. Cliquez à nouveau sur Ajouter des autorisations.
12. Dans le champ Filtrer, saisissez bigtable, puis appuyez sur Entrée.
13. Sélectionnez bigtable.tables.get, bigtable.tables.list et bigtable.tables.readRows, puis cliquez sur Ajouter.

Vous devriez voir les autorisations suivantes :

14. Cliquez sur Créer.

Votre nouveau rôle personnalisé doit maintenant s'afficher en haut de la table des rôles.

Créer un rôle personnalisé à l'aide de la CLI et d'un fichier YAML

• Vous pouvez créer des rôles à l'aide de la CLI et d'un fichier YAML. Le fichier YAML contient la définition du rôle. Il se présente sous la forme suivante :

title: [ROLE_TITLE] description: [ROLE_DESCRIPTION] stage: [LAUNCH_STAGE] includedPermissions: - [PERMISSION_1] - [PERMISSION_2]

• Le fichier YAML du rôle que vous venez de créer dans la console Cloud se présente comme suit :

title: Privacy Reviewer description: Custom role to perform data reviews stage: ALPHA includedPermissions: - storage.buckets.list - storage.objects.list - storage.objects.get - spanner.databases.get- spanner.databases.list - bigtable.tables.get - bigtable.tables.list - bigtable.tables.readRows

Ne copiez pas le fichier YAML ci-dessus. Vous allez créer un autre rôle à l'aide de la CLI.

1. Vérifiez que vous vous trouvez toujours dans l'onglet de navigateur du compte Username 1, puis ouvrez Cloud Shell si ce n'est pas déjà fait.

2. Pour créer un fichier nommé role.yaml, exécutez la commande suivante :

nano role.yaml

3. Copiez la définition de rôle suivante et collez-la dans l'éditeur nano de Cloud Shell :

title: App Viewer description: Custom role to view apps stage: ALPHA includedPermissions: - compute.instances.get - compute.instances.list - appengine.versions.get - appengine.versions.list

4. Appuyez sur CTRL + X, puis sur Y et Entrée pour enregistrer le fichier.
5. Pour créer un rôle, exécutez la commande suivante :

gcloud iam roles create app_viewer --project \ $DEVSHELL_PROJECT_ID --file role.yaml

Le résultat suivant s'affiche.

Résultat :

Created role [app_viewer]. description: Custom role to view apps etag: BwVshqVuvBs= includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/xxxxxxxxxx/roles/app_viewer stage: ALPHA title: App Viewer

6. Pour répertorier tous les rôles personnalisés de votre projet, exécutez la commande suivante :

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Les deux rôles que vous avez créés s'affichent.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des rôles personnalisés

Tâche 7 : Utiliser un rôle personnalisé

Dans cette tâche, vous allez créer un rôle personnalisé et l'attribuer au compte Username 2.

1. Assurez-vous que vous vous trouvez bien dans l'onglet Username 1 de la console Cloud.
2. Dans le menu de navigation, cliquez sur IAM et administration > IAM.
3. Dans la console IAM, recherchez la ligne du compte Username 2, puis cliquez sur le bouton "Modifier le compte principal" (). Le compte Username 2 doit actuellement disposer du rôle Lecteur des objets Storage.
4. Cliquez sur Ajouter un autre rôle, puis sur Sélectionnez un rôle.
5. Dans la catégorie Personnalisé, sélectionnez l'un des rôles que vous venez de créer.
6. Cliquez sur Enregistrer.

Vous avez attribué un de vos rôles personnalisés au compte Username 2.

Tâche 8 : Gérer les rôles personnalisés

Dans cette tâche, vous allez modifier, désactiver, supprimer et annuler la suppression d'un rôle personnalisé.

Lorsque vous utilisez des rôles personnalisés, il est important de suivre quelles autorisations sont associées aux rôles que vous avez créés, car les autorisations disponibles pour les services Google Cloud évoluent et changent au fil du temps. Contrairement aux rôles prédéfinis Google Cloud, vous déterminez si et quand les autorisations sont ajoutées ou supprimées.

Modifier les autorisations du rôle

Pour modifier un rôle existant, vous devez d'abord obtenir la définition du rôle, mettre à jour la définition, puis mettre à jour le rôle.

1. Assurez-vous que vous vous trouvez bien dans l'onglet Username 1 de la console Cloud.
2. Pour récupérer la définition du rôle app_viewer, exécutez la commande suivante dans Cloud Shell :

gcloud iam roles describe app_viewer --project \ $DEVSHELL_PROJECT_ID

La commande "describe" renvoie le résultat suivant.

Résultat :

description: Custom role to view apps etag: [Etag value] includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/[Project_ID]/roles/app_viewer stage: DISABLED title: App Viewer

3. Copiez la sortie de la commande "describe". Veillez à effectuer la copie de la ligne description à la ligne title.
4. Exécutez la commande suivante pour créer un fichier YAML :

nano update-role.yaml

5. Collez le résultat de la commande "describe" dans l'éditeur nano.
6. Ajoutez les deux lignes suivantes juste en dessous des lignes includedPermissions: :

- container.clusters.get - container.clusters.list

7. Appuyez sur CTRL + X, puis sur Y et Entrée pour enregistrer le fichier.
8. Pour mettre à jour le rôle app_viewer, exécutez la commande suivante :

gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --file update-role.yaml

Le rôle app_viewer a été mis à jour et deux autorisations ont été ajoutées.

Cliquez sur Vérifier ma progression pour valider l'objectif. Modifier les autorisations du rôle

Désactiver un rôle

Vous pouvez désactiver un rôle personnalisé. Lorsqu'un rôle est désactivé, toutes les liaisons de stratégie associées à ce rôle sont désactivées, ce qui signifie que les autorisations du rôle ne seront pas accordées, même si vous accordez le rôle à un utilisateur.

1. Assurez-vous que vous vous trouvez bien dans l'onglet Username 1 de la console Cloud.
2. Pour désactiver le rôle app_viewer créé plus tôt dans cet atelier, exécutez la commande suivante dans Cloud Shell :

gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --stage DISABLED

Supprimer un rôle

Les rôles supprimés sont suspendus et ne peuvent pas être utilisés pour créer des liaisons de stratégie IAM. Une fois le rôle supprimé, les liaisons existantes restent, mais sont inactives. Le rôle peut être restauré dans les sept jours suivant sa suppression. Après ce délai, le rôle entre dans une procédure de suppression définitive de 30 jours.

1. Assurez-vous que vous vous trouvez bien dans l'onglet Username 1 de la console Cloud.
2. Pour supprimer le rôle app_viewer créé plus tôt dans cet atelier, exécutez la commande suivante dans Cloud Shell :

gcloud iam roles delete app_viewer --project \ $DEVSHELL_PROJECT_ID

3. Pour répertorier tous les rôles du projet, exécutez la commande suivante :

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Notez que le rôle app_viewer supprimé ne figure plus dans la liste.

4. Pour lister tous les rôles du projet, y compris ceux qui ont été supprimés, exécutez la commande suivante :

gcloud iam roles list --project $DEVSHELL_PROJECT_ID \ --show-deleted

Annuler la suppression d'un rôle

Un rôle peut être restauré dans les sept jours suivant sa suppression.

1. Pour annuler la suppression du rôle app_viewer, exécutez la commande suivante dans Cloud Shell :

gcloud iam roles undelete app_viewer --project \ $DEVSHELL_PROJECT_ID

2. Pour répertorier tous les rôles du projet, exécutez la commande suivante :

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Notez que le rôle app_viewer figure à nouveau dans la liste.

Récapitulatif

Dans cet atelier, vous avez :

1. utilisé IAM pour implémenter le contrôle des accès ;

2. restreint l'accès à certaines fonctionnalités ou ressources ;

3. utilisé des rôles prédéfinis pour accorder l'accès à Google Cloud ;

4. créé des rôles IAM personnalisés pour attribuer des autorisations en fonction de vos rôles métier spécifiques ;

5. modifié les rôles personnalisés.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2025 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.