Controllo dell'accesso con IAM

In questa pagina vengono descritti i ruoli IAM (Identity and Access Management) necessari per utilizzare Access Approval.

Ruoli obbligatori

Le sezioni seguenti menzionano le autorizzazioni e i ruoli IAM necessari per eseguire varie azioni con Access Approval. Le sezioni forniscono anche istruzioni sulla concessione dei ruoli richiesti.

Visualizza le richieste e la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per visualizzare le richieste e la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Visualizzatore Access Approval (roles/accessapproval.viewer), segui questi passaggi:

Console

Per concedere questo ruolo IAM a te stesso:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Visualizzatore Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Per ulteriori informazioni sul comando, vedi gcloud organizations add-iam-policy-binding.

Visualizzare e approvare una richiesta di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per visualizzare e approvare una richiesta Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo di approvatore Access Approval (roles/accessapproval.approver), segui questi passaggi:

Console

Per concedere questo ruolo IAM a te stesso:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo di Approvatore Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Aggiornare la configurazione di Access Approval

La seguente tabella elenca le autorizzazioni IAM necessarie per aggiornare la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Editor configurazione Access Approval (roles/accessapproval.configEditor), segui questi passaggi:

Console

Per concedere questo ruolo IAM a te stesso:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Editor configurazione Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Annulla le richieste di Access Approval esistenti

La tabella seguente elenca le autorizzazioni IAM necessarie per invalidare le richieste Access Approval esistenti che sono state approvate:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Strumento di annullamento convalida Access Approval (roles/accessapproval.invalidator), segui questi passaggi:

Console

Per concedere questo ruolo IAM a te stesso:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Strumento di annullamento convalida Access Approval dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Passaggi successivi