Control de acceso con IAM

En esta página, se describen las funciones de Identity and Access Management (IAM) necesarias para usar la Aprobación de acceso.

Funciones obligatorias

En las siguientes secciones, se mencionan las funciones y los permisos de IAM necesarios para realizar varias acciones con la Aprobación de acceso. En las secciones, también se proporcionan instrucciones para otorgar los roles necesarios.

Consulta la configuración y las solicitudes de aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver las solicitudes de aprobación de acceso y la configuración:

Roles de IAM predefinidos Funciones y permisos obligatorios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar la función de visualizador de aprobación de acceso (roles/accessapproval.viewer), haz lo siguiente:

Consola

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y elige el rol Visualizador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID del correo electrónico del usuario

Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.

Ve y aprueba una solicitud de aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver y aprobar una solicitud de aprobación de acceso:

Roles de IAM predefinidos Funciones y permisos obligatorios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar la función de aprobador de aprobación de acceso (roles/accessapproval.approver), haz lo siguiente:

Consola

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y elige el rol Responsable de aprobación de acceso del menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID del correo electrónico del usuario

Actualiza la configuración de Aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para actualizar la configuración de Aprobación de acceso:

Roles de IAM predefinidos Funciones y permisos obligatorios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol Editor de configuración de aprobación de acceso (roles/accessapproval.configEditor), haz lo siguiente:

Consola

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y elige el rol Editor de configuración de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID del correo electrónico del usuario

Invalida las solicitudes de aprobación de acceso existentes

En la siguiente tabla, se enumeran los permisos de IAM necesarios para invalidar las solicitudes de Aprobación de acceso existentes que se aprobaron:

Roles de IAM predefinidos Funciones y permisos obligatorios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de invalidador de aprobación de acceso (roles/accessapproval.invalidator), haz lo siguiente:

Consola

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y elige el rol Invalidador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID del correo electrónico del usuario

¿Qué sigue?