IAM を使用したアクセス制御
このページでは、Access Approval の使用に必要な Identity and Access Management(IAM)のロールについて説明します。
必要なロール
以下のセクションでは、Access Approval でさまざまなアクションを実行するために必要な IAM のロールと権限について説明します。また、必要なロールを付与する方法についても説明します。
Access Approval のリクエストと構成を表示する
次の表は、Access Approval のリクエストと構成を表示するために必要な IAM の権限を示しています。
IAM の事前定義ロール | 必要な権限と役割 |
---|---|
roles/accessapproval.viewer
|
|
Access Approval 閲覧者(roles/accessapproval.viewer
)のロールを付与するには、次のようにします。
コンソール
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[ アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [Access Approval 承認者] ロールを選択します。
- [保存] をクリックします。
gcloud
次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
次のように置き換えます。
- ORGANIZATION_ID: 組織 ID。
- EMAIL_ID: ユーザーのメールアドレス。
このコマンドの詳細については、gcloud organizations add-iam-policy-binding をご覧ください。
Access Approval のリクエストを表示して承認する
次の表は、Access Approval のリクエストを表示して承認するために必要な IAM の権限を示しています。
IAM の事前定義ロール | 必要な権限と役割 |
---|---|
roles/accessapproval.approver
|
|
Access Approval 承認者(roles/accessapproval.approver
)ロールを付与するには、次のようにします。
コンソール
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[ アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
- [保存] をクリックします。
gcloud
次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
次のように置き換えます。
- ORGANIZATION_ID: 組織 ID。
- EMAIL_ID: ユーザーのメールアドレス。
Access Approval の構成を更新する
次の表は、Access Approval の構成の更新に必要な IAM 権限を示しています。
IAM の事前定義ロール | 必要な権限と役割 |
---|---|
roles/accessapproval.configEditor
|
|
Access Approval Config 編集者(roles/accessapproval.configEditor
)のロールを付与するには、次のようにします。
コンソール
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[ アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [Access Approval Config 編集者] ロールを選択します。
- [保存] をクリックします。
gcloud
次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
次のように置き換えます。
- ORGANIZATION_ID: 組織 ID。
- EMAIL_ID: ユーザーのメールアドレス。
Access Approval のリクエストを無効にする
次の表に、承認された既存の Access Approval のリクエストを無効にするために必要な IAM の権限を示します。
IAM の事前定義ロール | 必要な権限と役割 |
---|---|
roles/accessapproval.invalidator
|
|
Access Approval 無効者(roles/accessapproval.invalidator
)のロールを付与するには、次のようにします。
コンソール
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[ アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [Access Approval 無効者] ロールを選択します。
- [保存] をクリックします。
gcloud
次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
次のように置き換えます。
- ORGANIZATION_ID: 組織 ID。
- EMAIL_ID: ユーザーのメールアドレス。