Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Verwendung der Zugriffsgenehmigung erforderlich sind.

Erforderliche Rollen

In den folgenden Abschnitten werden die IAM-Rollen und -Berechtigungen erwähnt. erforderlich, um verschiedene Aktionen mit Access Approval durchzuführen. Die Abschnitte Anleitungen zum Gewähren der erforderlichen Rollen.

Anfragen und Konfiguration für die Zugriffsgenehmigung ansehen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen von Anträgen auf Zugriffsberechtigung und zur Konfiguration erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie den Betrachter von Zugriffsgenehmigungen (roles/accessapproval.viewer) Rolle Folgendes:

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie rechts im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein Adresse.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Betrachter für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Weitere Informationen zum Befehl finden Sie unter gcloud organizations add-iam-policy-binding.

Anfrage für die Zugriffsgenehmigung ansehen und genehmigen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Anzeigen von und eine Anfrage für die Zugriffsgenehmigung genehmigen:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie dem Genehmiger von Zugriffsgenehmigungen (roles/accessapproval.approver) haben, gehen Sie so vor:

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie rechts im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein Adresse.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie die gewünschte Rolle aus. Genehmiger für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Access Approval-Konfiguration aktualisieren

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die für Access Approval-Konfiguration aktualisieren:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter der Zugriffsgenehmigungskonfiguration gewähren (roles/accessapproval.configEditor) haben, gehen Sie so vor:

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie rechts im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein Adresse.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie die gewünschte Rolle aus. Bearbeiter der Zugriffsgenehmigungskonfiguration aus dem Menü aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Vorhandene Anfragen für die Zugriffsgenehmigung ungültig machen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die für vorhandene Anfragen für die Zugriffsgenehmigung, die bereits genehmigt wurden, ungültig machen:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Invalidator für Zugriffsgenehmigungen“ (roles/accessapproval.invalidator) zu:

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie rechts im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein Adresse.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie die gewünschte Rolle aus. Access Approval Invalidator (Validierung für Zugriffsgenehmigung) aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Nächste Schritte