使用 Terraform 启用 Access Approval

Terraform 是一种开源基础设施即代码软件工具， 供您管理 Access Approval 请求。借助 Terraform，您可以执行使用 Access Approval API 可执行的所有操作。

本页面介绍了如何使用 Terraform 启用 Access Approval。 本教程使用 Google Cloud Terraform 提供程序。

目标

本教程介绍了如何创建一个 Terraform 配置文件，以便：

• 设置用于接收 Access Approval 请求通知的电子邮件地址。
• 为所有受支持的 Google Cloud 产品启用 Access Approval。如需查看 Access Approval 支持的 Google Cloud 产品的完整列表，请参阅支持的服务。

准备工作

• 如需使用 Access Approval 和 Access Transparency，贵组织必须满足 具体的支持要求。 如需了解详情，请参阅使用访问权限审批功能的要求。
• 启用 Access Transparency 组织权限。如需了解详情，请参阅启用 Access Transparency。
• 确保您具有 Access Approval Config Editor (roles/accessapproval.configEditor) Identity and Access Management (IAM) 角色。如需详细了解 IAM 角色 请参阅 Access Approval 角色。

创建 Google Cloud 项目

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Enable the Access Approval API.

   Enable the API

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Enable the Access Approval API.

   Enable the API

安装 Google Cloud CLI

Install the Google Cloud CLI, then initialize it by running the following command:

gcloud init

出现提示时，选择您之前选择或创建的项目。

如果您已安装 Google Cloud CLI，请使用以下命令进行更新：

gcloud components update

创建 Terraform 配置文件

1. 打开 Cloud Shell 以启动独立的 Cloud Shell 会话。
2. 打开相应工作区。
3. 创建新文件夹。
4. 将名为 main.tf 的 Terraform 配置文件添加到此文件夹中。

5. 复制以下资源并将其粘贴到 main.tf 文件中。

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   输入以下变量的值：

   • email_1 和 email_2：提供您要将其设置为此项目的访问权限请求审核者的电子邮件地址。

   • parent_value：您要创建 my_folder 文件夹所在的文件夹的名称。有关文件夹的详细信息，请参阅创建和 管理文件夹。

运行 Terraform 配置文件

在 Cloud Shell 中运行以下命令。

1. 在目录中初始化 Terraform。

   terraform init
   

2. 运行创建的 Terraform 配置文件。

   terraform apply
   

3. 当系统提示您确认是否要运行配置文件时，请输入 yes。

如需详细了解如何使用 Terraform 操作 Access Approval，请参阅以下 Terraform 文档：google_folder_access_approval_settings。

后续步骤

• 将 Terraform 与 Google Cloud 搭配使用
• 将 Terraform 与 Access Approval 搭配使用
• Terraform on Google Cloud 使用入门
• 使用 Cloud Shell 在 Google Cloud 上启动 Terraform