Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Verwendung der Zugriffsgenehmigung erforderlich sind.

Erforderliche Rollen

In den folgenden Abschnitten werden die IAM-Rollen und ‑Berechtigungen beschrieben, die für die Ausführung verschiedener Aktionen mit der Zugriffsgenehmigung erforderlich sind. Außerdem finden Sie hier eine Anleitung zum Zuweisen der erforderlichen Rollen.

Anfragen und Konfigurationen für die Zugriffsgenehmigung ansehen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen von Anfragen und Konfigurationen für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Betrachter von Zugriffsgenehmigungen“ (roles/accessapproval.viewer) zu:

Console

So weisen Sie sich diese IAM-Rolle selbst zu:

  1. Rufen Sie in der Google Cloud console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich in das Feld Neue Hauptkonten Ihre E-Mail Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Betrachter von Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Weitere Informationen zum Befehl finden Sie unter gcloud organizations add-iam-policy-binding.

Anfrage für die Zugriffsgenehmigung ansehen und genehmigen

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ansehen und Genehmigen einer Anfrage für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Genehmiger von Zugriffsgenehmigungen“ (roles/accessapproval.approver) zu:

Console

So weisen Sie sich diese IAM-Rolle selbst zu:

  1. Rufen Sie in der Google Cloud console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich in das Feld Neue Hauptkonten Ihre E-Mail Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die die Rolle Genehmiger von Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Konfiguration der Zugriffsgenehmigung aktualisieren

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Aktualisieren der Konfiguration der Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Bearbeiter der Zugriffsgenehmigungskonfiguration“ (roles/accessapproval.configEditor) zu:

Console

So weisen Sie sich diese IAM-Rolle selbst zu:

  1. Rufen Sie in der Google Cloud console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich in das Feld Neue Hauptkonten Ihre E-Mail Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Bearbeiter der Zugriffsgenehmigungskonfiguration aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Vorhandene Anfragen für die Zugriffsgenehmigung annullieren

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Annullieren vorhandener genehmigter Anfragen für die Zugriffsgenehmigung erforderlich sind:

Vordefinierte IAM-Rolle Erforderliche Berechtigungen und Rollen
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

So weisen Sie die Rolle „Annullierer von Zugriffsgenehmigungen“ (roles/accessapproval.invalidator) zu:

Console

So weisen Sie sich diese IAM-Rolle selbst zu:

  1. Rufen Sie in der Google Cloud console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich in das Feld Neue Hauptkonten Ihre E-Mail Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Annullierer von Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Dabei gilt:

  • ORGANIZATION_ID: Die Organisations-ID.
  • EMAIL_ID: Die E-Mail-ID des Nutzers.

Nächste Schritte