On Demand Cloud Connect - Prérequis GCP Private
Cette section décrit les prérequis Google Cloud Platform (GCP) pour utiliser Evolution Platform Cloud Connect avec Private Interconnect.
Voici les prérequis :
- Création d'un compte de service dédié
- Définition des autorisations IAM
- Attribution des droits minimum requis
Prérequis 1 : Création d'un compte de service dédié
Google Cloud IAM vous permet de créer des comptes de service afin de représenter des comptes techniques dédiés aux services automatisés, tels qu'Evolution Platform.
Ces comptes ne sont pas destinés aux utilisateurs ou aux développeurs, mais aux intégrations tierces nécessitant un accès contrôlé aux API GCP.
Nous vous recommandons vivement de créer un compte de service dédié pour Evolution (par exemple : evolve-cloudconnect) afin de garantir une séparation claire entre :
- Les comptes d'utilisateurs de votre organisation
- Les comptes techniques utilisés par des services tiers (appelés comptes robots)
Cette séparation contribue à améliorer :
- La gestion des autorisations
- La traçabilité des accès
- La sécurité globale
Documentation associée :
- Création et gestion des comptes de service – Documentation GCP
- Présentation d'IAM – Documentation GCP
Prérequis 2 : Définition des autorisations IAM
Une fois le compte de service dédié créé, vous devez lui attribuer des rôles IAM qui définissent précisément les actions autorisées dans votre projet GCP.
Recommandations :
- N'accordez que les autorisations strictement nécessaires
- Évitez d'utiliser des rôles larges tels que Propriétaire ou Éditeur
- Préférez :
- Les rôles personnalisés
- Ou des rôles prédéfinis soigneusement évalués
- Documentez les rôles associés à ce compte de service
Autorisations minimales requises
Vous trouverez ci-dessous les autorisations IAM minimales qui doivent être attribuées pour permettre à Evolution de gérer les pièces jointes VLAN pour Private Interconnect.
Fonctionnalités couvertes :
- Acceptation et gestion des connexions Private Interconnect
- Répertorier les pièces jointes VLAN existantes
- Création de nouvelles pièces jointes VLAN
- Suppression des pièces jointes VLAN
- Répertorier les interconnexions associées
Autorisations IAM requises
| Fonction | Autorisations GCP requises |
|---|---|
| Répertorier les pièces jointes VLAN | compute.interconnectAttachments.list |
| Lire une pièce jointe VLAN | compute.interconnectAttachments.get |
| Créer une pièce jointe VLAN | compute.interconnectAttachments.create |
| Supprimer une pièce jointe VLAN | compute.interconnectAttachments.delete |
Rôle IAM recommandé
Option 1 – Rôle prédéfini (plus large)
roles/compute.interconnectAdmin
⚠️ Ce rôle inclut plus d'autorisations que strictement nécessaire.
Option 2 – Rôle personnalisé (recommandé)
Créez un rôle IAM personnalisé contenant uniquement les autorisations suivantes :
compute.interconnectAttachments.listcompute.interconnectAttachments.getcompute.interconnectAttachments.createcompute.interconnectAttachments.delete
Ce rôle doit être attribué au compte de service dédié utilisé par Evolution.