בקרת גישה באמצעות IAM

בדף הזה מוסבר על התפקידים בניהול הזהויות והרשאות הגישה (IAM) שנדרשים לשימוש באישור גישה.

התפקידים הנדרשים

בקטעים הבאים מפורטים התפקידים וההרשאות ב-IAM שנדרשים לביצוע פעולות שונות באישור גישה. בקטעים האלה מופיעות גם הוראות להקצאת התפקידים הנדרשים.

צפייה בבקשות לאישורי גישה ובהגדרות

בטבלה הבאה מפורטות הרשאות ה-IAM שנדרשות כדי להציג בקשות וקביעת תצורה של אישור גישה:

תפקיד מוגדר מראש ב-IAM הרשאות ותפקידים נדרשים
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

כדי להעניק את התפקיד 'צפייה באישורי גישה' (roles/accessapproval.viewer):

המסוף

כדי להקצות לעצמכם את תפקיד ה-IAM הזה, תוכלו לבצע את הפעולות הבאות:

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בכרטיסייה View by principals (תצוגה לפי חשבונות משתמש), לוחצים על Grant access (מתן גישה).
  3. בחלונית הימנית, בשדה New principals, מזינים את כתובת האימייל.
  4. לוחצים על השדה Select a role ובוחרים בתפקיד Access Approval Viewer מהתפריט.
  5. לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • EMAIL_ID: מזהה האימייל של המשתמש.

מידע נוסף על הפקודה זמין במאמר gcloud organizations add-iam-policy-binding.

צפייה בבקשה לאישור גישה ואישורה

בטבלה הבאה מפורטות הרשאות ה-IAM שנדרשות כדי לצפות בבקשה לאישור גישה ולאשר אותה:

תפקיד מוגדר מראש ב-IAM הרשאות ותפקידים נדרשים
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

כדי להעניק את התפקיד 'מאשר אישורי גישה' (roles/accessapproval.approver):

המסוף

כדי להקצות לעצמכם את תפקיד ה-IAM הזה, תוכלו לבצע את הפעולות הבאות:

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בכרטיסייה View by principals (תצוגה לפי חשבונות משתמש), לוחצים על Grant access (מתן גישה).
  3. בחלונית הימנית, בשדה New principals, מזינים את כתובת האימייל.
  4. לוחצים על השדה בחירת תפקיד ובוחרים בתפקיד מאשר בקשות לגישה מהתפריט.
  5. לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • EMAIL_ID: מזהה האימייל של המשתמש.

עדכון ההגדרה של אישור הגישה

בטבלה הבאה מפורטות הרשאות ה-IAM שנדרשות כדי לעדכן את ההגדרה של אישור גישה:

תפקיד מוגדר מראש ב-IAM הרשאות ותפקידים נדרשים
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

כדי להקצות את התפקיד Access Approval Config Editor (roles/accessapproval.configEditor):

המסוף

כדי להקצות לעצמכם את תפקיד ה-IAM הזה, תוכלו לבצע את הפעולות הבאות:

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בכרטיסייה View by principals (תצוגה לפי חשבונות משתמש), לוחצים על Grant access (מתן גישה).
  3. בחלונית הימנית, בשדה New principals, מזינים את כתובת האימייל.
  4. לוחצים על השדה Select a role (בחירת תפקיד) ובוחרים בתפקיד Access Approval Config Editor (עריכת הגדרות של אישור גישה) מהתפריט.
  5. לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • EMAIL_ID: מזהה האימייל של המשתמש.

ביטול התוקף של בקשות קיימות לאישורי גישה

בטבלה הבאה מפורטות הרשאות ה-IAM שנדרשות כדי לבטל בקשות קיימות לאישור גישה שאושרו:

תפקיד מוגדר מראש ב-IAM הרשאות ותפקידים נדרשים
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

כדי להעניק את התפקיד 'מבטל אישורי גישה' (roles/accessapproval.invalidator):

המסוף

כדי להקצות לעצמכם את תפקיד ה-IAM הזה, תוכלו לבצע את הפעולות הבאות:

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בכרטיסייה View by principals (תצוגה לפי חשבונות משתמש), לוחצים על Grant access (מתן גישה).
  3. בחלונית הימנית, בשדה New principals, מזינים את כתובת האימייל.
  4. לוחצים על השדה Select a role (בחירת תפקיד) ובוחרים בתפקיד Access Approval Invalidator (ביטול אישור גישה) מהתפריט.
  5. לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • EMAIL_ID: מזהה האימייל של המשתמש.

המאמרים הבאים