Zugriffssteuerung mit IAM
Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zur Verwendung der Zugriffsgenehmigung erforderlich sind.
Erforderliche Rollen
In den folgenden Abschnitten werden die IAM-Rollen und -Berechtigungen beschrieben, die zum Ausführen verschiedener Aktionen mit Access Approval erforderlich sind. Die Abschnitte enthalten auch eine Anleitung zum Gewähren der erforderlichen Rollen.
Anfragen und Konfiguration für die Zugriffsgenehmigung ansehen
In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aufrufen von Anfragen und der Konfiguration für die Zugriffsgenehmigung erforderlich sind:
Vordefinierte IAM-Rolle | Erforderliche Berechtigungen und Rollen |
---|---|
roles/accessapproval.viewer
|
|
So gewähren Sie die Rolle „Betrachter von Zugriffsgenehmigungen“ (roles/accessapproval.viewer
):
Console
So weisen Sie sich diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Betrachter von Zugriffsgenehmigungen aus.
- Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Die Organisations-ID.
- EMAIL_ID: E-Mail-ID des Nutzers
Weitere Informationen zu dem Befehl finden Sie unter gcloud organizations add-iam-policy-binding.
Anfrage für die Zugriffsgenehmigung ansehen und genehmigen
In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen und Genehmigen einer Anfrage für die Zugriffsgenehmigung erforderlich sind:
Vordefinierte IAM-Rolle | Erforderliche Berechtigungen und Rollen |
---|---|
roles/accessapproval.approver
|
|
So gewähren Sie die Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver
):
Console
So weisen Sie sich diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
- Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Die Organisations-ID.
- EMAIL_ID: E-Mail-ID des Nutzers
Access Approval-Konfiguration aktualisieren
In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aktualisieren der Access Approval-Konfiguration erforderlich sind:
Vordefinierte IAM-Rolle | Erforderliche Berechtigungen und Rollen |
---|---|
roles/accessapproval.configEditor
|
|
So gewähren Sie die Rolle „Bearbeiter der Zugriffsgenehmigungskonfiguration“ (roles/accessapproval.configEditor
):
Console
So weisen Sie sich diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Bearbeiter der Zugriffsgenehmigungskonfiguration aus.
- Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Die Organisations-ID.
- EMAIL_ID: E-Mail-ID des Nutzers
Vorhandene Anfragen für die Zugriffsgenehmigung ungültig machen
In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die erforderlich sind, um bereits genehmigte Anfragen für die Zugriffsgenehmigung zu ungültig zu machen:
Vordefinierte IAM-Rolle | Erforderliche Berechtigungen und Rollen |
---|---|
roles/accessapproval.invalidator
|
|
So gewähren Sie die Rolle „Invalidator der Zugriffsgenehmigung“ (roles/accessapproval.invalidator
):
Console
So weisen Sie sich diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Invalidator für Zugriffsgenehmigungen aus.
- Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: Die Organisations-ID.
- EMAIL_ID: E-Mail-ID des Nutzers