Comment tirer parti des rôles IAM Google Cloud prédéfinis pour Google Maps afin de mieux encadrer ces activités au sein de votre organisation.
Les ressources de Google Maps Platform se provisionnent et se gèrent depuis l'interface Google Maps Platform de la Google Cloud Console. Cette interface donne accès à de nombreuses activités et fonctions, dont le nombre et la sophistication ne cessent de croître. Or ces fonctionnalités ont souvent des répercussions multiples sur la productivité, l'interactivité et les coûts d'une organisation, d'où l'intérêt d'une approche qui permette une gouvernance efficace en attribuant des autorisations d'accès adaptées à chaque fonction et activité.
Citons par exemple l'activation des API ou SDK liés à Maps, la création de clés API et d'identifiants Maps, la création et la modification de styles de visualisation Maps personnalisés, ou encore l'import et la gestion de jeux de données géospatiaux personnalisés.
Cet article se penche sur les rôles IAM Google Cloud prédéfinis dédiés à Google Maps, qui permettent d'encadrer plus efficacement ces activités selon le protocole d'autorisations propre à chaque organisation.
De plus, les rôles IAM Google Cloud par défaut Propriétaire de projet et Éditeur de projet donnent accès à l'ensemble des autres ressources non liées à Maps du projet Google Cloud, ce qui ne correspond pas toujours au protocole d'autorisations du client.
Ces rôles s'attribuent depuis la page de menu IAM & Admin de la console GCP :
Google Cloud propose deux rôles IAM prédéfinis principaux pour Google Maps Platform, qui octroient les autorisations suivantes :
- Maps API Admin : accès en lecture et en écriture à l'ensemble des ressources de l'API Maps.
- Maps API Viewer : accès en lecture seule à l'ensemble des ressources de l'API Maps.
La liste détaillée des autorisations de chacun de ces rôles est présentée ci-dessous :
On constate à quel point l'accès du rôle Maps API Viewer reste limité face à l'éventail de fonctionnalités offert par la console Maps Platform. Pour l'essentiel, un Maps API Viewer peut uniquement consulter et utiliser les Map IDs et les Maps Styles existants du projet GCP concerné, sans pouvoir rien ajouter, modifier ou supprimer. Ces restrictions conviennent parfaitement, par exemple, au profil d'un développeur junior chargé d'écrire du code intégrant des fonds de carte prédéfinis avec une stylisation cartographique personnalisée, qu'il doit utiliser sans en altérer le rendu. Par exemple :
Cette restriction s'étend naturellement aux autres fonctionnalités accessibles depuis la console Maps Platform, comme l'interface des clés API ou l'activation d'API supplémentaires. Le message ci-dessous s'affiche lorsqu'un Maps API Viewer tente d'accéder à ces éléments de menu restreints :
Pour identifier les rôles associés à une autorisation spécifique, consultez la référence des autorisations IAM (recherchez mapsadmin). Par exemple :
Outre les rôles Maps API Admin et Viewer présentés ci-dessus, deux nouveaux rôles prédéfinis dédiés ont vu le jour avec la récente sortie de la nouvelle Maps Datasets API :
- Maps Platform Datasets Admin : accès en lecture et en écriture à l'ensemble des ressources de la Maps Platform Datasets API.
- Maps Platform Datasets Viewer : accès en lecture seule à l'ensemble des ressources de la Maps Platform Datasets API.
Ces deux rôles très ciblés permettent de gérer et de contrôler efficacement l'accès aux jeux de données géospatiaux propriétaires de l'organisation, et de tirer parti des nouvelles capacités de Data-driven Styling (DDS) pour styliser ces jeux de données sur le plan cartographique.
La liste détaillée des autorisations de chacun des rôles Datasets prédéfinis est présentée ci-dessous :
Enfin, il existe deux rôles IAM prédéfinis supplémentaires liés à Maps, en apparence assez confidentiels, mais qui pèsent fortement sur la gestion sécurisée des clés API Maps. L'interface Maps Platform de la Google Cloud Console fournit, projet GCP par projet GCP, des informations et recommandations à jour sur la restriction des clés API, afin de prévenir toute utilisation non autorisée. Voir l'exemple ci-dessous :
Les rôles IAM dédiés à la consultation et à l'application de ces informations et recommandations sont les suivants :
Google Maps Platform Insights/Recommendations Admin- administrateur de l'ensemble des informations et recommandations Google Maps Platform.
Google Maps Platform Insights/Recommendations Viewer- lecteur de l'ensemble des informations et recommandations Google Maps Platform.
Tous les rôles IAM Maps prédéfinis présentés ici sont à la fois puissants et utiles, mais des rôles IAM personnalisés permettent un contrôle encore plus fin des autorisations accordées aux utilisateurs. Si vous souhaitez en savoir plus sur les rôles IAM personnalisés et hautement granulaires pour piloter efficacement les activités Google Maps Platform de votre équipe, n'hésitez pas à me contacter à l'adresse [email protected]