Control de acceso con IAM
En esta página, se describen las funciones de Identity and Access Management (IAM) necesarias para usar la Aprobación de acceso.
Funciones obligatorias
En las siguientes secciones, se mencionan las funciones y los permisos de IAM necesarios para realizar varias acciones con la Aprobación de acceso. En las secciones, también se proporcionan instrucciones para otorgar los roles necesarios.
Consulta la configuración y las solicitudes de aprobación de acceso
En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver las solicitudes de aprobación de acceso y la configuración:
Roles de IAM predefinidos | Funciones y permisos obligatorios |
---|---|
roles/accessapproval.viewer
|
|
Para otorgar la función de visualizador de aprobación de acceso (roles/accessapproval.viewer
), haz lo siguiente:
Consola
Para otorgarte este rol de IAM, haz lo siguiente:
- Ve a la página de IAM en la consola de Google Cloud.
- En la pestaña Ver por principales, haz clic en Otorgar acceso.
- En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
- Haz clic en el campo Selecciona un rol y elige el rol Visualizador de aprobación de acceso en el menú.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Reemplaza lo siguiente:
- ORGANIZATION_ID: El ID de la organización.
- EMAIL_ID: El ID del correo electrónico del usuario
Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.
Ve y aprueba una solicitud de aprobación de acceso
En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver y aprobar una solicitud de aprobación de acceso:
Roles de IAM predefinidos | Funciones y permisos obligatorios |
---|---|
roles/accessapproval.approver
|
|
Para otorgar la función de aprobador de aprobación de acceso (roles/accessapproval.approver
), haz lo siguiente:
Consola
Para otorgarte este rol de IAM, haz lo siguiente:
- Ve a la página de IAM en la consola de Google Cloud.
- En la pestaña Ver por principales, haz clic en Otorgar acceso.
- En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
- Haz clic en el campo Selecciona un rol y elige el rol Responsable de aprobación de acceso del menú.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Reemplaza lo siguiente:
- ORGANIZATION_ID: El ID de la organización.
- EMAIL_ID: El ID del correo electrónico del usuario
Actualiza la configuración de Aprobación de acceso
En la siguiente tabla, se enumeran los permisos de IAM necesarios para actualizar la configuración de Aprobación de acceso:
Roles de IAM predefinidos | Funciones y permisos obligatorios |
---|---|
roles/accessapproval.configEditor
|
|
Para otorgar el rol Editor de configuración de aprobación de acceso
(roles/accessapproval.configEditor
), haz lo siguiente:
Consola
Para otorgarte este rol de IAM, haz lo siguiente:
- Ve a la página de IAM en la consola de Google Cloud.
- En la pestaña Ver por principales, haz clic en Otorgar acceso.
- En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
- Haz clic en el campo Selecciona un rol y elige el rol Editor de configuración de aprobación de acceso en el menú.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Reemplaza lo siguiente:
- ORGANIZATION_ID: El ID de la organización.
- EMAIL_ID: El ID del correo electrónico del usuario
Invalida las solicitudes de aprobación de acceso existentes
En la siguiente tabla, se enumeran los permisos de IAM necesarios para invalidar las solicitudes de Aprobación de acceso existentes que se aprobaron:
Roles de IAM predefinidos | Funciones y permisos obligatorios |
---|---|
roles/accessapproval.invalidator
|
|
Para otorgar el rol de invalidador de aprobación de acceso (roles/accessapproval.invalidator
), haz lo siguiente:
Consola
Para otorgarte este rol de IAM, haz lo siguiente:
- Ve a la página de IAM en la consola de Google Cloud.
- En la pestaña Ver por principales, haz clic en Otorgar acceso.
- En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
- Haz clic en el campo Selecciona un rol y elige el rol Invalidador de aprobación de acceso en el menú.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Reemplaza lo siguiente:
- ORGANIZATION_ID: El ID de la organización.
- EMAIL_ID: El ID del correo electrónico del usuario