Controle de acesso com o IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM, na sigla em inglês) necessários para usar o Access Approval.

Funções exigidas

As seções a seguir mencionam os papéis e as permissões do IAM necessários para realizar várias ações com o Access Approval. As seções também fornecem instruções sobre como conceder os papéis necessários.

Visualizar solicitações e configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para visualizar as solicitações e a configuração do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Leitor do Access Approval (roles/accessapproval.viewer), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no Google Cloud console.

    Acessar IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o Leitor do Access Approval papel no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.

Visualizar e aprovar um pedido de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar um pedido de aprovação do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Aprovador de aprovações de acesso (roles/accessapproval.approver), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no Google Cloud console.

    Acessar IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o Aprovador do Access Approval papel no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Atualizar a configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração do Access Approval:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Editor de configuração do Access Approval (roles/accessapproval.configEditor), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no Google Cloud console.

    Acessar IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o Editor de configuração do Access Approval papel no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

Invalidar solicitações do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para invalidar as solicitações do Access Approval que foram aprovadas:

Papel do IAM predefinido Permissões e papéis obrigatórios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para conceder o papel Invalidador do Access Approval (roles/accessapproval.invalidator), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no Google Cloud console.

    Acessar IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o Invalidador do Access Approval papel no menu.
  5. Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Substitua:

  • ORGANIZATION_ID: o ID da organização.
  • EMAIL_ID: o ID de e-mail do usuário.

A seguir