CYBBACK|pour Google Cloud IAM
Guide Utilisateur Rapide

Votre premier snapshot GCP IAM
en moins de 10 minutes.

De l'inscription à un snapshot chiffré et restaurable de l'IAM de votre projet — bindings, comptes de service, rôles personnalisés, org policies. Ce guide détaille chaque étape.

AudienceAdmins GCP & sécurité
Temps de lecture~ 8 minutes
Temps de setup~ 10 minutes
VersionFR — 2026
Ce que vous allez apprendre

6 étapes vers un backup prêt pour la production

1
Démarrer

S'inscrire — essai ou licence payante

CYBBACK propose deux façons de démarrer. Les deux débloquent l'ensemble des fonctionnalités Google Cloud IAM.

Option A — Essai gratuit

  1. Ouvrez cybback.com/essai-gratuit.
  2. Renseignez votre email professionnel, votre société et un mot de passe. Cliquez sur Démarrer l'essai gratuit.
  3. Confirmez via l'email de vérification.
  4. Sur l'écran de sélection de l'essai, choisissez Google Cloud IAM. Votre espace de travail d'essai est provisionné instantanément.
Onboarding sans friction

Les comptes d'essai accèdent à toutes les fonctionnalités Google Cloud IAM — chiffrement, BYOB, planification, restauration granulaire. Passez à un plan payant à tout moment sans perdre vos données.

Option B — Licence payante (Stripe checkout)

  1. Allez sur cybback.com/tarifs et choisissez le plan Google Cloud IAM correspondant au nombre de projets GCP à protéger.
  2. Cliquez sur S'abonner. Stripe Checkout accepte les cartes, SEPA et la facturation sur les plans annuels.
  3. Votre licence est active immédiatement — visible sous Compte → Abonnement.
2
Connecter Google Cloud IAM

Compte de service & rôles requis

CYBBACK lit l'IAM de votre projet via un compte de service Google. Le compte de service a besoin de rôles en lecture seule pour le backup, et de rôles d'administration supplémentaires uniquement si vous prévoyez d'utiliser la fonction de restauration.

1. Créer le compte de service

  1. Ouvrez console.cloud.google.com et sélectionnez le projet à protéger.
  2. Activez ces API : Identity and Access Management (IAM) API, Cloud Resource Manager API, Service Usage API, Org Policy API.
  3. Allez dans IAM & Admin → Service Accounts → + Create service account. Nommez-le cybback-iam-backup.
  4. Ouvrez le nouveau compte de service → KeysAdd key → JSON. Conservez le fichier en lieu sûr.

2. Attribuer les rôles requis

Sur le projet (IAM & Admin → IAM → + Grant access), attribuez au compte de service :

Backup uniquement : • roles/iam.securityReviewer (read IAM policies) • roles/iam.serviceAccountViewer (list service accounts) • roles/iam.roleViewer (read custom roles) • roles/orgpolicy.policyViewer (read org policies) Restauration (en plus) : • roles/iam.securityAdmin (apply IAM policies) • roles/iam.serviceAccountAdmin (create/disable SA) • roles/iam.roleAdmin (create/update roles)
Mode lecture seule (recommandé pour la conformité)

Si votre gouvernance interdit d'accorder la moindre permission en écriture à un service tiers, déployez un compte de service en lecture seule pour les backups quotidiens et réservez le compte de service d'administration pour la restauration aux scénarios de break-glass.

3. Coller les credentials dans CYBBACK

  1. Ouvrez app.cybback.com/dashboard/giam-backupConfiguration.
  2. Collez l'intégralité de la clé JSON du compte de service.
  3. Indiquez le Project ID à protéger. Cliquez sur Enregistrer les credentials.
  4. CYBBACK lance un test d'authentification et liste les métadonnées de votre projet en cas de succès.
app.cybback.com/dashboard/giam-backup
Dashboard
Configuration
JSON du compte de serviceChiffré au repos

Collez la clé JSON téléchargée depuis Google Cloud Console.

3
Chiffrement au repos

Activer le chiffrement AES-256-GCM

Les fichiers de backup sont stockés par défaut sur l'infrastructure sécurisée EU de CYBBACK. Ajoutez une seconde couche avec le chiffrement côté client : chaque fichier est chiffré avant de quitter le worker.

  1. Dans l'onglet Configuration de la page Google Cloud IAM, faites défiler jusqu'aux Options de sécurité.
  2. Activez le bouton Chiffrement AES-256.
  3. Cliquez sur Enregistrer. S'applique aux nouveaux backups ; les backups précédents restent lisibles.
Configuration → Options de sécurité
Chiffrement AES-256Recommandé

Chiffre vos données de backup avec AES-256-GCM avant l'envoi vers le stockage.

ActivéVos prochains backups seront chiffrés de bout en bout
4
Bring Your Own Bucket

Utiliser votre propre stockage S3-compatible

Vous voulez une souveraineté totale sur vos données ? Pointez CYBBACK vers votre bucket S3-compatible — AWS S3, GCS, Scaleway, OVH, Wasabi, MinIO. Vos données, votre hébergeur, votre région.

Provisionner le bucket

  1. Dans votre provider S3, créez un bucket privé (pas d'accès public, versioning recommandé).
  2. Créez une clé d'accès / clé secrète avec des permissions limitées à ce bucket.
  3. Notez l'URL d'endpoint et la région.

Configurer CYBBACK

  1. Ouvrez Dashboard → Stockage.
  2. Sélectionnez Mon propre stockage S3.
  3. Remplissez le formulaire, cliquez sur Tester la connexion, puis Enregistrer.
Dashboard → Stockage
Configuration S3Chiffré au repos
 
Tester avant d'enregistrer

Cliquez toujours d'abord sur Tester la connexion. CYBBACK écrit puis supprime un fichier de test pour valider les credentials, la région et les permissions.

5
Premier backup

Lancer votre premier backup

Tout est configuré. Il est temps de faire votre premier snapshot IAM — manuellement pour une tranquillité immédiate, puis planifiez des runs récurrents.

Backup manuel

  1. Revenez sur l'onglet Dashboard.
  2. Cliquez sur Lancer un backup maintenant. Le job apparaît avec le statut en attente, puis en cours.
  3. La progression est diffusée en direct : IAM policies récupérées, comptes de service listés, rôles personnalisés énumérés, org policies capturées.

Planifier les backups automatiques

  1. Depuis Dashboard → Planifications, cliquez sur Nouvelle planification.
  2. Service : Google Cloud IAM. Fréquence : Quotidien / Hebdomadaire / Personnalisé (cron).
  3. Choisissez une plage horaire et cliquez sur Enregistrer.
Snapshot-first

L'état IAM est léger — un backup complet d'un projet typique se termine en 10 à 30 secondes. Des snapshots quotidiens ajoutent un coût de stockage négligeable tout en vous offrant une piste d'audit parfaite.

Suivre vos backups

6
Restauration

Restaurer — granularité par binding

CYBBACK restaure depuis n'importe quel snapshot IAM précédent. Choisissez un seul binding, un compte de service supprimé, une définition de rôle obsolète — ou ramenez l'état IAM complet du projet à un instant connu et sain.

Le flow de restauration en 3 étapes

  1. Sélection. Ouvrez le snapshot, parcourez les 4 catégories (IAM Policies, Service Accounts, Custom Roles, Org Policies), cochez ce que vous voulez récupérer. Recherchez par email de principal ou nom de rôle.
  2. Options. Choisissez votre filet de sécurité :
    • Dry-run — simulation, aucun appel en écriture à l'API IAM.
    • Merge — ajoute les bindings manquants sans supprimer ceux en place (recommandé).
    • Overwrite — remplace l'IAM policy en place par le snapshot (rollback complet).
  3. Exécution. L'API applique la restauration en temps réel et rapporte les résultats par ressource. Un résumé indique ce qui a été ajouté, mis à jour ou ignoré.
Dashboard → Google Cloud IAM → Restauration
1. Sélection
2. Options
3. Exécution
Options de restauration14 IAM bindings · 3 service accounts
Dry-runSimuler sans écrire dans IAM
Mode mergeAjouter les bindings manquants, préserver ceux en place
Overwrite (rollback complet)Remplacer l'IAM policy en place par le snapshot
 

Bonnes pratiques

Clés de compte de service

Les clés JSON des comptes de service ne sont pas stockées — Google ne renvoie jamais le matériel privé. Les comptes de service restaurés nécessiteront de nouvelles clés générées par vos administrateurs.

Vous êtes prêt.

Besoin d'aide ? Notre équipe répond sous un jour ouvré quel que soit votre plan.

Contacter le support →