Controllo dell'accesso con IAM

Questa pagina descrive i ruoli IAM (Identity and Access Management) necessari per utilizzare la funzionalità Approvazione accesso.

Ruoli obbligatori

Le sezioni seguenti menzionano i ruoli e le autorizzazioni IAM necessari per eseguire varie azioni con l'approvazione dell'accesso. Le sezioni forniscono inoltre istruzioni su come concedere i ruoli richiesti.

Visualizzare le richieste e la configurazione di Access Approval

La seguente tabella elenca le autorizzazioni IAM necessarie per visualizzare le richieste e la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Access Approval Viewer (roles/accessapproval.viewer):

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Visualizzatore approvazione accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Per ulteriori informazioni sul comando, consulta gcloud organizations add-iam-policy-binding.

Visualizzare e approvare una richiesta di approvazione dell'accesso

La tabella seguente elenca le autorizzazioni IAM necessarie per visualizzare e approvare una richiesta di approvazione dell'accesso:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Approvatore approvazione dell'accesso (roles/accessapproval.approver), segui questi passaggi:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Approvatore dell'approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Aggiornare la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per aggiornare la configurazione dell'approvazione dell'accesso:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Editor configurazione di approvazione dell'accesso (roles/accessapproval.configEditor), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Editor di configurazione dell'approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Annullare la convalida delle richieste di approvazione dell'accesso esistenti

La tabella seguente elenca le autorizzazioni IAM necessarie per invalidare le richieste di approvazione dell'accesso esistenti che sono state approvate:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo di validatore dell'approvazione di accesso (roles/accessapproval.invalidator), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Annullatore dell'approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Passaggi successivi