Controle de acesso com o IAM
Esta página descreve os papéis do Identity and Access Management (IAM) necessários para usar Aprovação de acesso.
Funções exigidas
As seções a seguir mencionam os papéis e as permissões do IAM necessários para realizar várias ações com a aprovação de acesso. As seções também fornecem instruções sobre como conceder os papéis necessários.
Acessar as solicitações e a configuração do Access Approval
A tabela a seguir lista as permissões do IAM necessárias para exibir Configurações e solicitações do Access Approval:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.viewer
|
|
Para conceder o acesso de leitor (roles/accessapproval.viewer
)
faça o seguinte:
Console
Para conceder esse papel do IAM a você, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e selecione o papel Leitor de aprovação de acesso no menu.
- Clique em Salvar.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID de e-mail do usuário.
Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.
Acessar e aprovar uma solicitação de aprovação de acesso
A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.approver
|
|
Para conceder o papel de Aprovador de aprovação de acesso
(roles/accessapproval.approver
), faça o seguinte:
Console
Para conceder esse papel do IAM a você, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar papel e selecione o papel Aprovador de acesso no menu.
- Clique em Salvar.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID de e-mail do usuário.
Atualizar a configuração de aprovação de acesso
A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração da Aprovação de acesso:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.configEditor
|
|
Para conceder o editor de configuração do Access Approval
(roles/accessapproval.configEditor
), faça o seguinte:
Console
Para conceder esse papel do IAM a você, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu e-mail endereço IP.
- Clique no campo Selecionar um papel e selecione o papel Editor de configuração de aprovação de acesso no menu.
- Clique em Salvar.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID de e-mail do usuário.
Invalidar solicitações de aprovação de acesso
A tabela a seguir lista as permissões do IAM necessárias para invalidar as solicitações atuais aprovadas que foram aprovadas:
Papel do IAM predefinido | Permissões e papéis obrigatórios |
---|---|
roles/accessapproval.invalidator
|
|
Para conceder o papel de Invalidador de aprovação de acesso
(roles/accessapproval.invalidator
), faça o seguinte:
Console
Para conceder esse papel do IAM a você, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e selecione a função Invalidator de aprovação de acesso no menu.
- Clique em Salvar.
gcloud
Execute este comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Substitua:
- ORGANIZATION_ID: o ID da organização.
- EMAIL_ID: o ID de e-mail do usuário.