使用 IAM 控管存取權

本頁面說明使用存取核准時須具備的 Identity and Access Management (IAM) 角色。

必要的角色

以下各節將說明使用存取權核准執行各種動作時所需的 IAM 角色和權限。各節也提供授予必要角色的操作說明。

查看存取權核准要求和設定

下表列出查看 Access Approval 要求和設定所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予「存取權核准要求檢視者」角色 (roles/accessapproval.viewer),請按照下列步驟操作:

控制台

如要授予自己這個 IAM 角色,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「IAM」頁面

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「請選擇角色」欄位,然後從選單中選取「存取核准檢視者」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

更改下列內容:

  • ORGANIZATION_ID:組織 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

如要進一步瞭解這個指令,請參閱 gcloud organizations add-iam-policy-binding

查看並核准存取權核准要求

下表列出查看及核准 Access Approval 核准要求所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予「存取權核准核准者」(roles/accessapproval.approver) 角色,請按照下列步驟操作:

控制台

如要授予自己這個 IAM 角色,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「IAM」頁面

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「選取角色」欄位,然後從選單中選取「存取權核准核准者」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

更改下列內容:

  • ORGANIZATION_ID:組織 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

更新存取權核准設定

下表列出更新存取核准設定所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予「存取權核准設定編輯者」角色 (roles/accessapproval.configEditor),請按照下列步驟操作:

控制台

如要授予自己這個 IAM 角色,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「IAM」頁面

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「Select a role」(選取角色) 欄位,然後從選單中選取「Access Approval Config Editor」(存取核准設定編輯者) 角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

更改下列內容:

  • ORGANIZATION_ID:組織 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

撤銷現有的 Access Approval 要求

下表列出撤銷已核准的現有存取核准要求所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予「存取權核准失效者」(roles/accessapproval.invalidator) 角色,請按照下列步驟操作:

控制台

如要授予自己這個 IAM 角色,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「IAM」頁面

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「Select a role」(選取角色) 欄位,然後從選單中選取「Access Approval Invalidator」(存取核准失效者) 角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

更改下列內容:

  • ORGANIZATION_ID:組織 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

後續步驟