Controle de acesso com o IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM) necessários para usar o Access Approval.

Funções exigidas

As seções a seguir mencionam os papéis e permissões do IAM necessários para executar várias ações com o Access Approval. As seções também fornecem instruções sobre como conceder os papéis necessários.

Acessar solicitações e configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para visualizar as solicitações e a configuração do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Leitor de aprovação de acesso (roles/accessapproval.viewer), faça o seguinte:

Console

Para conceder esse papel do IAM a si mesmo, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e escolha o papel Leitor de aprovação de acesso no menu.
  5. Clique em Save.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID do e-mail do usuário.

Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.

Ver e aprovar uma solicitação de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Aprovador de acesso (roles/accessapproval.approver), faça o seguinte:

Console

Para conceder esse papel do IAM a si mesmo, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e escolha o papel Aprovador de acesso no menu.
  5. Clique em Save.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID do e-mail do usuário.

Atualizar a configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Editor de configuração da aprovação de acesso (roles/accessapproval.configEditor), faça o seguinte:

Console

Para conceder esse papel do IAM a si mesmo, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e escolha o papel Editor de configuração do Access Approval no menu.
  5. Clique em Save.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID do e-mail do usuário.

Invalidar as solicitações de aprovação de acesso atuais

A tabela a seguir lista as permissões do IAM necessárias para invalidar as solicitações de aprovação de acesso que já foram aprovadas:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Invalidador de aprovação de acesso (roles/accessapproval.invalidator), faça o seguinte:

Console

Para conceder esse papel do IAM a si mesmo, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e escolha o papel Invalidador de aprovação de acesso no menu.
  5. Clique em Save.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID do e-mail do usuário.

A seguir