Contrôle des accès avec IAM
Cette page décrit les rôles IAM (Identity and Access Management) requis pour utiliser Access Approval.
Rôles requis
Les sections suivantes mentionnent les rôles et autorisations IAM requis pour effectuer diverses actions avec Access Approval. Les sections fournissent également des instructions sur l'attribution des rôles requis.
Afficher les demandes et la configuration Access Approval
Le tableau suivant répertorie les autorisations IAM requises pour afficher les demandes d'approbation des accès et la configuration:
Rôle IAM prédéfini | Autorisations et rôles requis |
---|---|
roles/accessapproval.viewer
|
|
Pour accorder le rôle "Lecteur des autorisations d'accès" (roles/accessapproval.viewer
), procédez comme suit:
Console
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de la console Google Cloud.
- Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Lecteur des autorisations d'accès dans le menu.
- Cliquez sur Enregistrer.
gcloud
Exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation.
- EMAIL_ID: ID d'adresse e-mail de l'utilisateur.
Pour plus d'informations sur cette commande, consultez la section gcloud organizations add-iam-policy-binding.
Afficher et approuver une demande Access Approval
Le tableau suivant répertorie les autorisations IAM requises pour afficher et approuver une demande Access Approval:
Rôle IAM prédéfini | Autorisations et rôles requis |
---|---|
roles/accessapproval.approver
|
|
Pour accorder le rôle Approbateur des autorisations d'accès (roles/accessapproval.approver
), procédez comme suit:
Console
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de la console Google Cloud.
- Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
- Cliquez sur Enregistrer.
gcloud
Exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation.
- EMAIL_ID: ID d'adresse e-mail de l'utilisateur.
Mettre à jour la configuration Access Approval
Le tableau suivant répertorie les autorisations IAM requises pour mettre à jour la configuration Access Approval:
Rôle IAM prédéfini | Autorisations et rôles requis |
---|---|
roles/accessapproval.configEditor
|
|
Pour accorder le rôle roles/accessapproval.configEditor
(Éditeur de configuration des autorisations d'accès), procédez comme suit:
Console
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de la console Google Cloud.
- Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Éditeur de configuration des autorisations d'accès dans le menu.
- Cliquez sur Enregistrer.
gcloud
Exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation.
- EMAIL_ID: ID d'adresse e-mail de l'utilisateur.
Invalider les demandes Access Approval existantes
Le tableau suivant répertorie les autorisations IAM requises pour invalider les demandes Access Approval existantes qui ont été approuvées:
Rôle IAM prédéfini | Autorisations et rôles requis |
---|---|
roles/accessapproval.invalidator
|
|
Pour accorder le rôle Access Approval InValidator (roles/accessapproval.invalidator
), procédez comme suit:
Console
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de la console Google Cloud.
- Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Access Approval InValidator dans le menu.
- Cliquez sur Enregistrer.
gcloud
Exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Remplacez les éléments suivants :
- ORGANIZATION_ID : ID de l'organisation.
- EMAIL_ID: ID d'adresse e-mail de l'utilisateur.