Controllo dell'accesso con IAM

In questa pagina vengono descritti i ruoli di Identity and Access Management (IAM) necessari per utilizzare l'approvazione di accesso.

Ruoli obbligatori

Le seguenti sezioni indicano i ruoli e le autorizzazioni IAM necessari per eseguire varie azioni con Access Approval. Le sezioni forniscono anche le istruzioni per concedere i ruoli richiesti.

Visualizza le richieste e la configurazione di Access Approval

La seguente tabella elenca le autorizzazioni IAM richieste per visualizzare le richieste e la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Visualizzatore Access Approval (roles/accessapproval.viewer), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e scegli il ruolo Visualizzatore approvazione degli accessi dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Per maggiori informazioni sul comando, consulta gcloud organizzazioni add-iam-policy-binding.

Visualizzare e approvare una richiesta di approvazione dell'accesso

La seguente tabella elenca le autorizzazioni IAM necessarie per visualizzare e approvare una richiesta di approvazione dell'accesso:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.approver
  • accessapproval.requests.approval
  • accessapproval.requests.ignora
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Approvatore accesso (roles/accessapproval.approver), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e scegli il ruolo Approvatore approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Aggiorna la configurazione di Access Approval

La seguente tabella elenca le autorizzazioni IAM necessarie per aggiornare la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Editor configurazione di approvazione accesso (roles/accessapproval.configEditor), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Editor Config accesso Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Rendi nulle le richieste di Access Approval esistenti

La seguente tabella elenca le autorizzazioni IAM necessarie per invalidare le richieste di approvazione dell'accesso esistenti che sono state approvate:

Ruolo IAM predefinito Autorizzazioni e ruoli richiesti
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Strumento di convalida degli accessi (roles/accessapproval.invalidator), procedi nel seguente modo:

Console

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e scegli il ruolo Strumento di convalida approvazione degli accessi dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Passaggi successivi