Controle de acesso com o IAM

Esta página descreve os papéis do Identity and Access Management (IAM) necessários para usar Aprovação de acesso.

Funções exigidas

As seções a seguir mencionam os papéis e as permissões do IAM necessários para realizar várias ações com a aprovação de acesso. As seções também fornecem instruções sobre como conceder os papéis necessários.

Acessar as solicitações e a configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para exibir Configurações e solicitações do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o acesso de leitor (roles/accessapproval.viewer) faça o seguinte:

Console

Para conceder esse papel do IAM a você, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o papel Leitor de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.

Acessar e aprovar uma solicitação de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de Aprovador de aprovação de acesso (roles/accessapproval.approver), faça o seguinte:

Console

Para conceder esse papel do IAM a você, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar papel e selecione o papel Aprovador de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Atualizar a configuração de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração da Aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o editor de configuração do Access Approval (roles/accessapproval.configEditor), faça o seguinte:

Console

Para conceder esse papel do IAM a você, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu e-mail endereço IP.
  4. Clique no campo Selecionar um papel e selecione o papel Editor de configuração de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Invalidar solicitações de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para invalidar as solicitações atuais aprovadas que foram aprovadas:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel de Invalidador de aprovação de acesso (roles/accessapproval.invalidator), faça o seguinte:

Console

Para conceder esse papel do IAM a você, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione a função Invalidator de aprovação de acesso no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

A seguir