此页面由 Cloud Translation API 翻译。

使用 IAM 进行访问权限控制

本页介绍使用访问权限审批所需的 Identity and Access Management (IAM) 角色。

所需的角色

以下部分介绍了使用“访问权限审批”功能执行各种操作所需的 IAM 角色和权限。这些部分还提供了有关授予所需角色的说明。

查看 Access Approval 请求和配置

下表列出了查看访问权限审批请求和配置所需的 IAM 权限：

预定义的 IAM 角色	所需的权限和角色
`roles/accessapproval.viewer`	accessapproval.requests.get accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

如需授予“Access Approval Viewer”（roles/accessapproval.viewer）角色，请执行以下操作：

控制台

如需向自己授予此 IAM 角色，请执行以下操作：

在 Google Cloud 控制台中，前往 IAM 页面。
前往 IAM
在按主账号查看标签页中，点击 授予访问权限。
在右侧窗格中的新的主账号字段中，输入您的电子邮件地址。
点击选择角色字段，然后从菜单中选择 Access Approval Viewer 角色。
点击保存。

gcloud

运行以下命令：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

替换以下内容：

ORGANIZATION_ID：组织 ID。
EMAIL_ID：用户的电子邮件 ID。

如需详细了解该命令，请参阅 gcloud organizations add-iam-policy-binding。

查看和批准 Access Approval 请求

下表列出了查看和批准 Access Approval 请求所需的 IAM 权限：

预定义的 IAM 角色	所需的权限和角色
`roles/accessapproval.approver`	accessapproval.requests.approve accessapproval.requests.dismiss accessapproval.requests.get accessapproval.requests.invalidate accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

如需授予 Access Approval Approver (roles/accessapproval.approver) 角色，请执行以下操作：

控制台

如需向自己授予此 IAM 角色，请执行以下操作：

在 Google Cloud 控制台中，前往 IAM 页面。
前往 IAM
在按主账号查看标签页中，点击 授予访问权限。
在右侧窗格中的新的主账号字段中，输入您的电子邮件地址。
点击选择角色字段，然后从菜单中选择访问权限审批批准人角色。
点击保存。

gcloud

运行以下命令：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

替换以下内容：

ORGANIZATION_ID：组织 ID。
EMAIL_ID：用户的电子邮件 ID。

更新 Access Approval 配置

下表列出了更新访问权限审批配置所需的 IAM 权限：

预定义的 IAM 角色	所需的权限和角色
`roles/accessapproval.configEditor`	accessapproval.serviceAccounts.get accessapproval.settings.delete accessapproval.settings.get accessapproval.settings.update resourcemanager.projects.get resourcemanager.projects.list

如需授予 Access Approval Config Editor (roles/accessapproval.configEditor) 角色，请执行以下操作：

控制台

如需向自己授予此 IAM 角色，请执行以下操作：

在 Google Cloud 控制台中，前往 IAM 页面。
前往 IAM
在按主账号查看标签页中，点击 授予访问权限。
在右侧窗格中的新的主账号字段中，输入您的电子邮件地址。
点击选择角色字段，然后从菜单中选择 Access Approval Config Editor 角色。
点击保存。

gcloud

运行以下命令：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

替换以下内容：

ORGANIZATION_ID：组织 ID。
EMAIL_ID：用户的电子邮件 ID。

使现有 Access Approval 请求失效

下表列出了使已获批准的现有 Access Approval 请求失效所需的 IAM 权限：

预定义的 IAM 角色	所需的权限和角色
`roles/accessapproval.invalidator`	accessapproval.requests.get accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

如需授予 Access Approval Invalidator (roles/accessapproval.invalidator) 角色，请执行以下操作：

控制台

如需向自己授予此 IAM 角色，请执行以下操作：

在 Google Cloud 控制台中，前往 IAM 页面。
前往 IAM
在按主账号查看标签页中，点击 授予访问权限。
在右侧窗格中的新的主账号字段中，输入您的电子邮件地址。
点击选择角色字段，然后从菜单中选择 Access Approval Invalidator 角色。
点击保存。

gcloud

运行以下命令：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

替换以下内容：

ORGANIZATION_ID：组织 ID。
EMAIL_ID：用户的电子邮件 ID。

使用 IAM 进行访问权限控制

所需的角色

查看 Access Approval 请求和配置

控制台

gcloud

查看和批准 Access Approval 请求

控制台

gcloud

更新 Access Approval 配置

控制台

gcloud

使现有 Access Approval 请求失效

控制台

gcloud

后续步骤