Controle de acesso com o IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM) necessários para usar a aprovação de acesso.

Funções exigidas

As seções a seguir mencionam os papéis e as permissões do IAM necessários para realizar várias ações com a Aprovação de acesso. As seções também fornecem instruções sobre como conceder os papéis necessários.

Acessar a configuração e as solicitações do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para visualizar pedidos e configurações de aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de Visualizador de aprovação de acesso (roles/accessapproval.viewer), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no console Google Cloud .

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o papel Leitor de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.

Acessar e aprovar uma solicitação de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de Aprovador de acesso (roles/accessapproval.approver), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no console Google Cloud .

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o papel Aprovador de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Atualizar a configuração de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração da aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de editor de configuração da aprovação de acesso (roles/accessapproval.configEditor), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no console Google Cloud .

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o papel Editor de configuração de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Invalidar solicitações de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para invalidar solicitações de aprovação de acesso aprovadas:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de Invalidador de aprovação de acesso (roles/accessapproval.invalidator), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no console Google Cloud .

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione a função Invalidator de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

A seguir