Controllo dell'accesso con IAM

Questa pagina descrive i ruoli IAM (Identity and Access Management) necessari per utilizzare la funzionalità Approvazione accesso.

Ruoli obbligatori

Le sezioni seguenti descrivono i ruoli e le autorizzazioni IAM necessario per eseguire varie azioni con Access Approval. Le sezioni che forniscono anche istruzioni sulla concessione dei ruoli richiesti.

Visualizza le richieste e la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per la visualizzazione. Richieste e configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Access Approval Viewer (roles/accessapproval.viewer):

Console

Per concedere a te stesso questo ruolo IAM, segui questi passaggi:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro di destra, inserisci il tuo indirizzo email .
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Visualizzatore approvazione accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Per ulteriori informazioni sul comando, consulta gcloud organizations add-iam-policy-binding.

Visualizzare e approvare una richiesta di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per la visualizzazione. e approvare una richiesta di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere l'approvatore Access Approval (roles/accessapproval.approver), segui questi passaggi:

Console

Per concedere a te stesso questo ruolo IAM, segui questi passaggi:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro di destra, inserisci il tuo indirizzo email .
  4. Fai clic sul campo Seleziona un ruolo e scegli Approvatore Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Aggiorna la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per: aggiorna la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Editor configurazione di approvazione dell'accesso (roles/accessapproval.configEditor), procedi nel seguente modo:

Console

Per concedere a te stesso questo ruolo IAM, segui questi passaggi:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e scegli Ruolo Editor configurazione Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Annullare la convalida delle richieste di approvazione dell'accesso esistenti

La tabella seguente elenca le autorizzazioni IAM necessarie per invalidare le richieste di approvazione dell'accesso esistenti che sono state approvate:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo di amministratore dell'approvazione dell'accesso (roles/accessapproval.invalidator):

Console

Per concedere a te stesso questo ruolo IAM, segui questi passaggi:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro di destra, inserisci il tuo indirizzo email .
  4. Fai clic sul campo Seleziona un ruolo e scegli Ruolo strumento di annullamento convalida Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Passaggi successivi