Zugriffsgenehmigung mit Terraform aktivieren

Terraform ist ein Open-Source-Softwaretool für Infrastructure as Code, mit dem Sie Ihre Access Approval-Anfragen verwalten können. Mit Terraform können Sie alle Aktionen ausführen, die Sie auch mit den Access Approval APIs ausführen können.

Auf dieser Seite wird beschrieben, wie Sie die Genehmigung für den Zugriff mit Terraform aktivieren können. In dieser Anleitung wird der Google Cloud Terraform-Anbieter verwendet.

Ziel

In dieser Anleitung erfahren Sie, wie Sie eine Terraform-Konfigurationsdatei erstellen, die:

• Legt E‑Mail-Adressen für Benachrichtigungen zu Genehmigungsanfragen fest.
• Aktiviert die Zugriffsgenehmigung für alle unterstützten Produkte. Google Cloud Eine vollständige Liste der von der Zugriffsgenehmigung unterstützten Google Cloud -Produkte finden Sie unter Unterstützte Dienste.

Hinweis

• Um die Zugriffsgenehmigung und Access Transparency nutzen zu können, muss Ihre Organisation bestimmte Supportanforderungen erfüllen. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung der Zugriffsbestätigung.
• Aktivieren Sie Access Transparency für Ihre Organisation. Weitere Informationen finden Sie unter Access Transparency aktivieren.
• Sie benötigen die IAM-Rolle (Identity and Access Management) Access Approval Config Editor (roles/accessapproval.configEditor). Weitere Informationen zu IAM-Rollen für die Zugriffsbestätigung finden Sie unter Rollen für die Zugriffsbestätigung.

Ein Google Cloud -Projekt erstellen

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI installieren

Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:

gcloud init

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Wählen Sie bei Aufforderung das Projekt aus, das Sie zuvor ausgewählt oder erstellt haben.

Wenn Sie die Google Cloud CLI bereits installiert haben, aktualisieren Sie sie mit dem folgenden Befehl:

gcloud components update

Terraform-Konfigurationsdatei erstellen

1. Klicken Sie auf Cloud Shell öffnen, um eine eigenständige Cloud Shell-Sitzung zu starten.
2. Öffnen Sie einen Arbeitsbereich.
3. Erstellen Sie einen neuen Ordner.
4. Fügen Sie diesem Ordner eine Terraform-Konfigurationsdatei mit dem Namen main.tf hinzu.

5. Kopieren Sie die folgende Ressource und fügen Sie sie in Ihre main.tf-Datei ein.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Geben Sie Werte für die folgenden Variablen ein:

   • email_1 und email_2: Geben Sie die E-Mail-Adressen der Nutzer an, die Sie als Prüfer für die Zugriffsanfragen für dieses Projekt festlegen möchten.

   • parent_value: Name des Ordners, in dem Sie den Ordner my_folder erstellen möchten. Weitere Informationen zu Ordnern finden Sie unter Ordner erstellen und verwalten.

Terraform-Konfigurationsdatei ausführen

Führen Sie die folgenden Befehle in Cloud Shell aus.

1. Initialisieren Sie Terraform im Verzeichnis.

   terraform init
   

2. Führen Sie die erstellte Terraform-Konfigurationsdatei aus.

   terraform apply
   

3. Wenn Sie aufgefordert werden, zu bestätigen, dass Sie die Konfigurationsdatei ausführen möchten, geben Sie yes ein.

Weitere Informationen zum Betrieb von Access Approval mit Terraform finden Sie in diesem Terraform-Dokument: google_folder_access_approval_settings.

Nächste Schritte

• Terraform mit Google Cloudverwenden
• Terraform mit Access Approval verwenden
• Erste Schritte mit Terraform auf Google Cloud
• Terraform in Google Cloud mit Cloud Shell einrichten