Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zur Verwendung der Zugriffsgenehmigung erforderlich sind.

Erforderliche Rollen

In den folgenden Abschnitten werden die IAM-Rollen und -Berechtigungen beschrieben, die zum Ausführen verschiedener Aktionen mit Access Approval erforderlich sind. Die Abschnitte enthalten auch eine Anleitung zum Gewähren der erforderlichen Rollen.

Anfragen und Konfiguration für die Zugriffsgenehmigung ansehen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aufrufen von Anfragen und der Konfiguration für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Betrachter von Zugriffsgenehmigungen“ (roles/accessapproval.viewer):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Betrachter von Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: E-Mail-ID des Nutzers

Weitere Informationen zu dem Befehl finden Sie unter gcloud organizations add-iam-policy-binding.

Anfrage für die Zugriffsgenehmigung ansehen und genehmigen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen und Genehmigen einer Anfrage für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: E-Mail-ID des Nutzers

Access Approval-Konfiguration aktualisieren

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aktualisieren der Access Approval-Konfiguration erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Bearbeiter der Zugriffsgenehmigungskonfiguration“ (roles/accessapproval.configEditor):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Bearbeiter der Zugriffsgenehmigungskonfiguration aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: E-Mail-ID des Nutzers

Vorhandene Anfragen für die Zugriffsgenehmigung ungültig machen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die erforderlich sind, um bereits genehmigte Anfragen für die Zugriffsgenehmigung zu ungültig zu machen:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So gewähren Sie die Rolle „Invalidator der Zugriffsgenehmigung“ (roles/accessapproval.invalidator):

Console

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Invalidator für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: E-Mail-ID des Nutzers

Nächste Schritte