Gérer les comptes de service OVHcloud

Voir en Markdown

Découvrez comment créer, gérer et utiliser des comptes de service pour vous connecter aux API OVHcloud via l'espace client ou l'API

Objectif

Les accès aux produits OVHcloud sont configurables au sein de politiques d'accès accessibles depuis l'espace client. Cela vous permet de définir de manière globale qui peut accéder à quel produit. Pour configurer ces accès pour des utilisateurs, consultez notre guide « Comment utiliser les politiques IAM depuis votre espace client ».

Lorsque des accès aux API sont nécessaires depuis des applications ou du code, vous devez générer des identifiants spécifiques pour ne pas les lier à un utilisateur. En effet, vous ne souhaitez pas réinitialiser vos scripts en production si votre utilisateur change ses identifiants ou quitte votre entreprise.

Ce guide vous explique comment créer et gérer des comptes de service depuis l'espace client OVHcloud ou via l'API, puis les utiliser dans vos politiques d'accès IAM.

Ces identifiants peuvent être utilisés au sein des différentes API de nos produits :

Prérequis


Accès à l'espace client OVHcloud

  • Lien direct :
  • Pour y accéder : Identité, Sécurité & Opérations > Identités > Compte de service

En pratique

Présentation des identités

Les comptes de service sont l'un des types d'identités pouvant être mis en place sur votre compte OVHcloud. Les autres types de comptes sont décrits dans la documentation associée.

Fonctionnement des comptes de service

Les comptes de service OVHcloud sont un couple identifiant/token qui permet à votre code de s'authentifier sur les API OVHcloud. Ces identifiants respectent le protocole OAuth2 en suivant le mécanisme d'authentification client credential.

Ce couple identifiant/token n'a pas de limite d'utilisation dans le temps. Il est donc idéal pour l'utilisation au sein d'un code déployé en production. Vous pouvez bien entendu révoquer les accès associés à ce compte de service à tout moment en modifiant les politiques d'accès associées ou en supprimant ce compte de service.

Chaque identifiant est associé à un URN unique qui permet de lui fournir des droits fins sur les produits OVHcloud en l'associant avec des politiques d'accès. Ces identifiants sont directement rattachés à votre compte racine. Ils ne sont donc pas affectés par des changements d'utilisateurs.

Comme toutes les API OVHcloud, la gestion de ces identifiants est soumise à des droits d'accès configurables au sein des politiques d'accès. Consultez le guide « Comment utiliser les politiques IAM depuis votre espace client ».

Gérer les comptes de service

Espace client OVHcloud
API OVHcloud

Accédez à la page Compte de service via le lien direct ci-dessus, ou sélectionnez l'onglet Compte de service dans la section Identités.

Liste des comptes de service dans l'espace client OVHcloud

Le tableau affiche les comptes de service existants avec les informations suivantes :

ColonneDétails
NomNom du compte de service.
DescriptionDescription de l'usage prévu pour ce compte de service.
Politiques associéesNombre de politiques d'accès IAM liées à ce compte de service.
CréationDate de création du compte de service.

Créer un compte de service

Cliquez sur Ajouter un compte de service.

Formulaire de création d'un compte de service OVHcloud

Complétez les champs suivants :

ChampDétails
Nom du compte de serviceNom unique identifiant ce compte de service.
DescriptionDescription de l'usage prévu. Nous vous conseillons de décrire l'application ou le script qui utilisera ces identifiants afin de faciliter l'audit de vos accès.

Cliquez sur Créer.

Une fenêtre affiche alors les identifiants générés :

  • Nom du compte de service : identifiant (clientId) de votre compte de service.
  • Mot de passe : secret (clientSecret) permettant de s'authentifier sur les API OVHcloud.
Identifiants générés après la création d'un compte de service
Warning

Vous n'aurez plus accès au contenu du token après la fermeture de cette fenêtre. Veillez à enregistrer ces identifiants de manière sécurisée avant de cliquer sur Fermer.

Modifier un compte de service

Cliquez sur le bouton à droite du compte de service concerné, puis sur Modifier.

Formulaire de modification d'un compte de service existant

Vous pouvez mettre à jour le nom et la description du compte de service. Cliquez sur Modifier pour valider.

Info

Le mot de passe d'un compte de service existant ne peut pas être récupéré ni régénéré depuis l'espace client. Si vous avez perdu le secret, vous devez créer un nouveau compte de service et mettre à jour votre application.

Supprimer un compte de service

Cliquez sur le bouton à droite du compte de service concerné, puis sur Supprimer.

Fenêtre de confirmation de suppression d'un compte de service

Confirmez la suppression en cliquant sur Supprimer.

Warning

Attention, cette action est définitive. Si vous souhaitez faire un retour en arrière, vous serez contraint de créer un nouveau compte de service et de déployer le couple identifiant/token au sein de votre application.

Pour supprimer les accès, nous vous conseillons de dissocier toutes les politiques d'accès de ce compte de service. Cette action est réversible et permet de revenir en arrière en cas d'erreur. Une fois assuré que ce compte de service n'est pas utilisé en production, vous pourrez le supprimer sans crainte.

Associer des accès à un compte de service

Pour modifier les accès d'un compte de service, vous pouvez l'associer à une politique d'accès existante ou en créer une nouvelle.

Depuis l'espace client, consultez le guide « Comment utiliser les politiques IAM depuis votre espace client » pour créer ou modifier une politique. Lors de la sélection des identités, ajoutez le compte de service concerné. La colonne Politiques associées de la page Compte de service indique le nombre de politiques liées à chaque compte de service.

Pour en savoir plus sur la gestion des politiques d'accès via l'API, consultez notre guide « Comment utiliser les politiques IAM via l'API OVHcloud ».

Pour cet exemple, nous allons partir d'une politique d'accès existante permettant de fournir les accès aux API de gestion de comptes de service. Ci-dessous se trouve un exemple de politique avec les valeurs xx11111-ovh et urn:v1:eu:identity:credential:xx11111-ovh/oauth2-0f0f0f0f0f0f0f0f qui sont à adapter en fonction de votre configuration.

{
  "description": "Demo for service account guide",
  "identities": [
    "urn:v1:eu:identity:credential:xx11111-ovh/oauth2-0f0f0f0f0f0f0f0f"
  ],
  "name": "Demo-service-account",
  "permissions": {
    "allow": [
      {
        "action": "account:apiovh:me/api/oauth2/client/get"
      },
      {
        "action": "account:apiovh:me/api/oauth2/client/create"
      },
      {
        "action": "account:apiovh:me/api/oauth2/client/edit"
      },
      {
        "action": "account:apiovh:me/api/oauth2/client/delete"
      }
    ]
  },
  "resources": [
    {
        "urn": "urn:v1:eu:resource:account:xx11111-ovh"
    }
  ]
}

Cet exemple peut être utilisé directement au sein de l'appel suivant pour créer une nouvelle politique :

POST/iam/policy

Utilisation des comptes de service

Les comptes de service sont disponibles dans plusieurs API de nos produits. Pour chaque API, un guide y est consacré :

Aller plus loin

Échangez avec notre communauté d'utilisateurs.

Cette page vous a-t-elle aidé ?