Controle de acesso com o IAM
Nesta página, descrevemos os papéis do Identity and Access Management (IAM) necessários para usar o Access Approval.
Funções exigidas
As seções a seguir mencionam os papéis e permissões do IAM necessários para executar várias ações com o Access Approval. As seções também fornecem instruções sobre como conceder os papéis necessários.
Acessar solicitações e configuração do Access Approval
A tabela a seguir lista as permissões do IAM necessárias para visualizar as solicitações e a configuração do Access Approval:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.viewer
|
|
Para conceder o papel Leitor de aprovação de acesso (roles/accessapproval.viewer
),
faça o seguinte:
Console
Para conceder esse papel do IAM a si mesmo, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e escolha o papel Leitor de aprovação de acesso no menu.
- Clique em Save.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID do e-mail do usuário.
Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.
Ver e aprovar uma solicitação de aprovação de acesso
A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.approver
|
|
Para conceder o papel Aprovador de acesso
(roles/accessapproval.approver
), faça o seguinte:
Console
Para conceder esse papel do IAM a si mesmo, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e escolha o papel Aprovador de acesso no menu.
- Clique em Save.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID do e-mail do usuário.
Atualizar a configuração do Access Approval
A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração do Access Approval:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.configEditor
|
|
Para conceder o papel Editor de configuração da aprovação de acesso
(roles/accessapproval.configEditor
), faça o seguinte:
Console
Para conceder esse papel do IAM a si mesmo, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e escolha o papel Editor de configuração do Access Approval no menu.
- Clique em Save.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID do e-mail do usuário.
Invalidar as solicitações de aprovação de acesso atuais
A tabela a seguir lista as permissões do IAM necessárias para invalidar as solicitações de aprovação de acesso que já foram aprovadas:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.invalidator
|
|
Para conceder o papel Invalidador de aprovação de acesso
(roles/accessapproval.invalidator
), faça o seguinte:
Console
Para conceder esse papel do IAM a si mesmo, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e escolha o papel Invalidador de aprovação de acesso no menu.
- Clique em Save.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID do e-mail do usuário.