Control de acceso con IAM

En esta página, se describen los roles de Identity and Access Management (IAM) necesarios para usar la Aprobación de acceso.

Roles obligatorios

En las siguientes secciones, se mencionan los roles y permisos de IAM necesarios para realizar diversas acciones con la Aprobación de acceso. En las secciones, también se proporcionan instrucciones para otorgar los roles necesarios.

Ver las solicitudes y la configuración de la Aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver las solicitudes y la configuración de Aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de visualizador de aprobación de acceso (roles/accessapproval.viewer), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y elige el rol Visualizador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID de la organización.
  • EMAIL_ID: ID de correo electrónico del usuario.

Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.

Cómo ver y aprobar una solicitud de aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver y aprobar una solicitud de Access Approval:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de responsable de aprobación de Aprobaciones de acceso (roles/accessapproval.approver), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar un rol y elige el rol Aprobador de aprobaciones de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID de la organización.
  • EMAIL_ID: ID de correo electrónico del usuario.

Actualiza la configuración de la Aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para actualizar la configuración de la Aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de Editor de configuración de aprobaciones de acceso (roles/accessapproval.configEditor), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Selecciona un rol y, luego, selecciona el rol Editor de configuración de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID de la organización.
  • EMAIL_ID: ID de correo electrónico del usuario.

Invalida las solicitudes de aprobación de acceso existentes

En la siguiente tabla, se enumeran los permisos de IAM necesarios para invalidar las solicitudes existentes de aprobación de acceso que se aprobaron:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el rol de Invalidador de aprobación de acceso (roles/accessapproval.invalidator), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar un rol y elige el rol Invalidador de aprobaciones de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID de la organización.
  • EMAIL_ID: ID de correo electrónico del usuario.

¿Qué sigue?