Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Verwendung der Zugriffsgenehmigung erforderlich sind.

Erforderliche Rollen

In den folgenden Abschnitten werden die IAM-Rollen und -Berechtigungen aufgeführt, die für verschiedene Aktionen mit der Zugriffsberechtigung erforderlich sind. Außerdem finden Sie dort eine Anleitung zum Gewähren der erforderlichen Rollen.

Anfragen für die Zugriffsgenehmigung und die Konfiguration ansehen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen von Anträgen auf Zugriffsberechtigung und zur Konfiguration erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Betrachter von Zugriffsgenehmigungen“ (roles/accessapproval.viewer):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud -Konsole die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Betrachter für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Weitere Informationen zum Befehl finden Sie unter gcloud organizations add-iam-policy-binding.

Anfrage für die Zugriffsgenehmigung ansehen und genehmigen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen und Genehmigen einer Anfrage für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Genehmiger von Zugriffsgenehmigungen“ (roles/accessapproval.approver):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud -Konsole die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Konfiguration der Zugriffsgenehmigung aktualisieren

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aktualisieren der Konfiguration der Zugriffsberechtigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Bearbeiter der Zugriffsgenehmigungskonfiguration“ (roles/accessapproval.configEditor):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud -Konsole die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Zugriffsgenehmigungs-Konfigurationsbearbeiter aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Vorhandene Anfragen für die Zugriffsgenehmigung ungültig machen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ungültigmachen bereits genehmigter Anfragen für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Invalidator für Zugriffsgenehmigungen“ (roles/accessapproval.invalidator) zu:

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud -Konsole die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Access Approval Invalidator aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Nächste Schritte