Attivazione di Access Approval utilizzando Terraform

Terraform è uno strumento software open source Infrastructure as Code che ti consente di gestire le richieste di approvazione dell'accesso. Terraform ti consente di eseguire tutte le azioni che puoi eseguire utilizzando le API Access Approval.

Questa pagina descrive come attivare Access Approval utilizzando Terraform. Questo tutorial utilizza il Google Cloud provider Terraform.

Obiettivo

Questo tutorial spiega come creare un file di configurazione Terraform che:

• Imposta gli indirizzi email per le notifiche delle richieste di approvazione dell'accesso.
• Attiva Access Approval per tutti i prodotti Google Cloud supportati. Per l'elenco completo dei Google Cloud prodotti supportati da Approvazione accesso, consulta Servizi supportati.

Prima di iniziare

• Per utilizzare Access Approval e Access Transparency, la tua organizzazione deve soddisfare requisiti di assistenza specifici. Per maggiori informazioni, consulta Requisiti per l'utilizzo dell'approvazione dell'accesso.
• Attiva Access Transparency nella tua organizzazione. Per saperne di più, consulta Attivazione di Access Transparency.
• Assicurati di disporre del ruolo IAM (Identity and Access Management) Editor configurazione approvazione accesso (roles/accessapproval.configEditor). Per saperne di più sui ruoli IAM per l'approvazione dell'accesso, consulta Ruoli dell'approvazione dell'accesso.

Creazione di un progetto Google Cloud

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installazione di Google Cloud CLI

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Quando richiesto, scegli il progetto che hai selezionato o creato in precedenza.

Se hai già installato Google Cloud CLI, aggiornala utilizzando il seguente comando:

gcloud components update

Creazione di un file di configurazione Terraform

1. Apri Cloud Shell per avviare una sessione di Cloud Shell autonoma.
2. Apri uno spazio di lavoro.
3. Crea una nuova cartella.
4. Aggiungi a questa cartella un file di configurazione Terraform denominato main.tf.

5. Copia la seguente risorsa e incollala nel file main.tf.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Inserisci i valori per le seguenti variabili:

   • email_1 e email_2: fornisci gli indirizzi email degli utenti che vuoi impostare come revisori per le richieste di accesso per questo progetto.

   • parent_value: il nome della cartella in cui vuoi creare la cartella my_folder. Per ulteriori informazioni sulle cartelle, vedi Creare e gestire cartelle.

Esecuzione del file di configurazione Terraform

Esegui questi comandi in Cloud Shell.

1. Inizializza Terraform nella directory.

   terraform init
   

2. Esegui il file di configurazione Terraform creato.

   terraform apply
   

3. Quando ti viene chiesto di confermare se vuoi eseguire il file di configurazione, digita yes.

Per saperne di più sul funzionamento di Access Approval con Terraform, consulta questo documento di Terraform: google_folder_access_approval_settings.

Passaggi successivi

• Utilizzo di Terraform con Google Cloud
• Utilizzo di Terraform con Access Approval
• Guida introduttiva a Terraform su Google Cloud
• Inizia a utilizzare Terraform su Google Cloud con Cloud Shell