Contrôle des accès avec IAM

Cette page décrit les rôles de Identity and Access Management (IAM) requis pour utiliser Access Approval.

Rôles requis

Les sections suivantes mentionnent les rôles et autorisations IAM requis pour effectuer différentes actions avec Access Approval. Elles fournissent également des instructions sur l'attribution des rôles requis.

Afficher les demandes et la configuration Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour afficher les demandes et la configuration Access Approval :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle de lecteur Access Approval (roles/accessapproval.viewer), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM dans la Google Cloud console.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le Lecteur Access Approval rôle dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID de l'adresse e-mail de l'utilisateur.

Pour en savoir plus sur cette commande, consultez gcloud organizations add-iam-policy-binding.

Afficher et approuver une demande d'approbation d'accès

Le tableau suivant répertorie les autorisations IAM requises pour afficher et approuver une demande d'approbation d'accès :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle d'approbateur Access Approval (roles/accessapproval.approver), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM dans la Google Cloud console.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le Approbateur Access Approval rôle dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID de l'adresse e-mail de l'utilisateur.

Mettre à jour la configuration Access Approval

Le tableau suivant répertorie les autorisations IAM requises pour mettre à jour la configuration Access Approval :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle d'éditeur de configuration Access Approval (roles/accessapproval.configEditor), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM dans la Google Cloud console.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le Éditeur de configuration Access Approval rôle dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID de l'adresse e-mail de l'utilisateur.

Invalider les demandes Access Approval existantes

Le tableau suivant répertorie les autorisations IAM requises pour invalider les demandes Access Approval existantes qui ont été approuvées :

Rôle IAM prédéfini Autorisations et rôles requis
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Pour attribuer le rôle d'invalidateur Access Approval (roles/accessapproval.invalidator), procédez comme suit :

Console

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM dans la Google Cloud console.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le Invalidateur Access Approval rôle dans le menu.
  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de l'organisation.
  • EMAIL_ID : ID de l'adresse e-mail de l'utilisateur.

Étape suivante