Contrôle des accès avec IAM

Cette page décrit les rôles IAM (Identity and Access Management) requis pour utiliser Access Approval.

Rôles requis

Les sections suivantes mentionnent les rôles et autorisations IAM requises pour effectuer diverses actions avec Access Approval. Les sections ainsi que des instructions sur l'attribution des rôles requis.

Afficher les demandes d'autorisation d'accès et la configuration

Le tableau suivant répertorie les autorisations IAM requises pour afficher les demandes et la configuration d'approbation des accès :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle de lecteur des autorisations d'accès (roles/accessapproval.viewer) , procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur  Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Lecteur d'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID e-mail de l'utilisateur.

Pour plus d'informations sur la commande, reportez-vous à la page sur la commande gcloud organization add-iam-policy-binding.

Afficher et approuver une demande Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour afficher et approuver une demande d'approbation d'accès :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle Approbateur des autorisations d'accès (roles/accessapproval.approver), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur de l'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID de l'adresse e-mail de l'utilisateur.

Mettre à jour la configuration Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour mettre à jour la configuration Access Approval:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder à l'éditeur pour la configuration des autorisations d'accès (roles/accessapproval.configEditor), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle le rôle Éditeur pour la configuration des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID e-mail de l'utilisateur.

Invalider les demandes d'approbation d'accès existantes

Le tableau suivant répertorie les autorisations IAM requises pour invalider les demandes d'approbation d'accès existantes qui ont été approuvées :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle d'invalidation de l'approbation des accès (roles/accessapproval.invalidator), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Invalidateur d'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID e-mail de l'utilisateur.

Étape suivante