Contrôle des accès avec IAM

Cette page décrit les rôles IAM (Identity and Access Management) requis pour utiliser Access Approval.

Rôles requis

Les sections suivantes mentionnent les rôles et autorisations IAM requis pour effectuer diverses actions avec Access Approval. Les sections fournissent également des instructions sur l'attribution des rôles requis.

Afficher les demandes et la configuration Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour afficher les demandes d'approbation des accès et la configuration:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle "Lecteur des autorisations d'accès" (roles/accessapproval.viewer), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Lecteur des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID d'adresse e-mail de l'utilisateur.

Pour plus d'informations sur cette commande, consultez la section gcloud organizations add-iam-policy-binding.

Afficher et approuver une demande Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour afficher et approuver une demande Access Approval:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle Approbateur des autorisations d'accès (roles/accessapproval.approver), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID d'adresse e-mail de l'utilisateur.

Mettre à jour la configuration Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour mettre à jour la configuration Access Approval:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle roles/accessapproval.configEditor (Éditeur de configuration des autorisations d'accès), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Éditeur de configuration des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID d'adresse e-mail de l'utilisateur.

Invalider les demandes Access Approval existantes

Le tableau suivant répertorie les autorisations IAM requises pour invalider les demandes Access Approval existantes qui ont été approuvées:

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour accorder le rôle Access Approval InValidator (roles/accessapproval.invalidator), procédez comme suit:

Console

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Access Approval InValidator dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID: ID d'adresse e-mail de l'utilisateur.

Étapes suivantes