Contrôle des accès avec IAM

Cette page décrit les rôles IAM (Identity and Access Management) requis pour utiliser l'approbation des accès.

Rôles requis

Les sections suivantes mentionnent les rôles et autorisations IAM requis pour effectuer diverses actions avec l'approbation des accès. Ces sections fournissent également des instructions sur l'attribution des rôles requis.

Afficher les demandes d'autorisation d'accès et la configuration

Le tableau suivant répertorie les autorisations IAM requises pour afficher les demandes et la configuration d'approbation des accès:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle de lecteur des autorisations d'accès (roles/accessapproval.viewer), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM dans la console Google Cloud .

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Lecteur d'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID e-mail de l'utilisateur.

Pour en savoir plus sur cette commande, consultez gcloud organizations add-iam-policy-binding.

Afficher et approuver une demande Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour afficher et approuver une demande d'approbation d'accès:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle Approbateur des autorisations d'accès (roles/accessapproval.approver), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM dans la console Google Cloud .

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur de l'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID e-mail de l'utilisateur.

Mettre à jour la configuration des autorisations d'accès

Le tableau suivant répertorie les autorisations IAM requises pour mettre à jour la configuration de l'approbation des accès:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle "Éditeur pour la configuration des autorisations d'accès" (roles/accessapproval.configEditor), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM dans la console Google Cloud .

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Éditeur de la configuration d'approbation des accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID e-mail de l'utilisateur.

Invalider les demandes d'approbation d'accès existantes

Le tableau suivant répertorie les autorisations IAM requises pour invalider les demandes d'approbation d'accès existantes qui ont été approuvées:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle d'invalidation de l'approbation des accès (roles/accessapproval.invalidator), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM dans la console Google Cloud .

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Invalidateur d'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID e-mail de l'utilisateur.

Étape suivante