Control de acceso con la IAM

En esta página, se describen los roles de administración de identidades y accesos (IAM) necesarios para usar la aprobación de acceso.

Roles obligatorios

En las siguientes secciones, se mencionan los roles y permisos de IAM necesarios para realizar diversas acciones con la aprobación de acceso. En las secciones, también se proporcionan instrucciones para otorgar los roles necesarios.

Ver las solicitudes de aprobación de acceso y la configuración

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver la configuración y las solicitudes de aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de Visualizador de aprobación de acceso (roles/accessapproval.viewer), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar un rol y selecciona el rol Visualizador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.

Cómo ver y aprobar una solicitud de aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver y aprobar una solicitud de aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de Autorizador de aprobación de acceso (roles/accessapproval.approver), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar una función y selecciona el rol Aprobador de la aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

Actualiza la configuración de la Aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para actualizar la configuración de la aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de Editor de configuración de aprobación de acceso (roles/accessapproval.configEditor), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar una función y selecciona el rol Editor de configuración de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

Invalida las solicitudes de aprobación de acceso existentes

En la siguiente tabla, se enumeran los permisos de IAM necesarios para invalidar las solicitudes de aprobación de acceso existentes que se aprobaron:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol Invalidador de aprobación de acceso (roles/accessapproval.invalidator), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar una función y selecciona el rol Invalidador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

¿Qué sigue?