使用 IAM 控制访问权限

本页面介绍了使用 Access Approval 所需的 Identity and Access Management (IAM) 角色。

所需的角色

以下部分提及了使用 Access Approval 执行各种操作所需的 IAM 角色和权限。这些部分还提供了有关授予所需角色的说明。

查看 Access Approval 请求和配置

下表列出了查看 Access Approval 请求和配置所需的 IAM 权限:

预定义的 IAM 角色 所需的权限和角色
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如需授予 Access Approval Viewer (roles/accessapproval.viewer) 角色,请执行以下操作:

控制台

如需将此 IAM 角色授予您自己,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 IAM 页面。

    前往 IAM

  2. 按主帐号查看标签页中,点击授予访问权限
  3. 在右侧窗格的新的主帐号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择 Access Approval Viewer 角色。
  5. 点击保存

gcloud

运行以下命令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

替换以下内容:

  • ORGANIZATION_ID:组织 ID。
  • EMAIL_ID:用户的电子邮件 ID。

如需详细了解该命令,请参阅 gcloud organizations add-iam-policy-binding

查看和批准访问权限审批请求

下表列出了查看和批准 Access Approval 请求所需的 IAM 权限:

预定义的 IAM 角色 所需的权限和角色
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如需授予 Access Approval Approver (roles/accessapproval.approver) 角色,请执行以下操作:

控制台

如需将此 IAM 角色授予您自己,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 IAM 页面。

    前往 IAM

  2. 按主帐号查看标签页中,点击授予访问权限
  3. 在右侧窗格的新的主帐号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择 Access Approval Approver 角色。
  5. 点击保存

gcloud

运行以下命令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

替换以下内容:

  • ORGANIZATION_ID:组织 ID。
  • EMAIL_ID:用户的电子邮件 ID。

更新 Access Approval 配置

下表列出了更新 Access Approval 配置所需的 IAM 权限:

预定义的 IAM 角色 所需的权限和角色
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如需授予 Access Approval Config Editor (roles/accessapproval.configEditor) 角色,请执行以下操作:

控制台

如需将此 IAM 角色授予您自己,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 IAM 页面。

    前往 IAM

  2. 按主帐号查看标签页中,点击授予访问权限
  3. 在右侧窗格的新的主帐号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择 Access Approval Config Editor 角色。
  5. 点击保存

gcloud

运行以下命令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

替换以下内容:

  • ORGANIZATION_ID:组织 ID。
  • EMAIL_ID:用户的电子邮件 ID。

使现有访问权限审批请求失效

下表列出了使已获批准的现有 Access Approval 请求失效所需的 IAM 权限:

预定义的 IAM 角色 所需的权限和角色
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如需授予 Access Approval InVerifier (roles/accessapproval.invalidator) 角色,请执行以下操作:

控制台

如需将此 IAM 角色授予您自己,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 IAM 页面。

    前往 IAM

  2. 按主帐号查看标签页中,点击授予访问权限
  3. 在右侧窗格的新的主帐号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择 Access Approval InVerifier 角色。
  5. 点击保存

gcloud

运行以下命令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

替换以下内容:

  • ORGANIZATION_ID:组织 ID。
  • EMAIL_ID:用户的电子邮件 ID。

后续步骤