Controllo dell'accesso con IAM

Questa pagina descrive i ruoli Identity and Access Management (IAM) necessari per utilizzare l'approvazione dell'accesso.

Ruoli obbligatori

Le sezioni seguenti menzionano i ruoli e le autorizzazioni IAM necessari per eseguire varie azioni con Access Approval. Le sezioni forniscono anche istruzioni per concedere i ruoli richiesti.

Visualizzare le richieste e la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per visualizzare le richieste e la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Visualizzatore approvazioni di accesso (roles/accessapproval.viewer):

Console

Per concedere a te stesso questo ruolo IAM, procedi come segue:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM.

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Visualizzatore approvazione accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Per saperne di più sul comando, consulta gcloud organizations add-iam-policy-binding.

Visualizzare e approvare una richiesta di approvazione dell'accesso

La seguente tabella elenca le autorizzazioni IAM necessarie per visualizzare e approvare una richiesta di approvazione dell'accesso:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo di approvatore di Access Approval (roles/accessapproval.approver):

Console

Per concedere a te stesso questo ruolo IAM, procedi come segue:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM.

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Responsabile approvazione accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Aggiornare la configurazione di Access Approval

La tabella seguente elenca le autorizzazioni IAM necessarie per aggiornare la configurazione di Access Approval:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo Editor configurazione di approvazione dell'accesso (roles/accessapproval.configEditor), procedi nel seguente modo:

Console

Per concedere a te stesso questo ruolo IAM, procedi come segue:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM.

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Editor configurazione approvazione accesso dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Annullare le richieste di approvazione dell'accesso esistenti

La tabella seguente elenca le autorizzazioni IAM necessarie per invalidare le richieste di approvazione dell'accesso esistenti che sono state approvate:

Ruolo IAM predefinito Autorizzazioni e ruoli obbligatori
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Per concedere il ruolo di Access Approval Invalidator (roles/accessapproval.invalidator):

Console

Per concedere a te stesso questo ruolo IAM, procedi come segue:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM.

  2. Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Access Approval Invalidator dal menu.
  5. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione.
  • EMAIL_ID: l'ID email dell'utente.

Passaggi successivi