Zugriffsgenehmigung mit Terraform aktivieren

Terraform ist ein Open-Source-Infrastruktur-als-Code-Softwaretool, mit dem Sie Ihre Zugriffsgenehmigungsanfragen verwalten können. Mit Terraform können Sie alle Aktionen ausführen, die mit den Zugriffsgenehmigungs-APIs möglich sind.

Auf dieser Seite wird beschrieben, wie Sie die Zugriffsgenehmigung mit Terraform aktivieren können. In dieser Anleitung wird der Google Cloud Terraform-Provider verwendet.

Ziel

In dieser Anleitung erfahren Sie, wie Sie eine Terraform-Konfigurationsdatei erstellen, mit der Sie Folgendes tun können:

• E-Mail-Adressen für Benachrichtigungen zu Zugriffsgenehmigungsanfragen festlegen
• Zugriffsgenehmigung für alle unterstützten Google Cloud Produkte aktivieren Eine vollständige Liste der von der Zugriffsgenehmigung unterstützten Google Cloud Produkte finden Sie unter Unterstützte Dienste.

Hinweis

• Um die Zugriffsgenehmigung und Access Transparency verwenden zu können, muss Ihre Organisation bestimmte Supportanforderungen erfüllen. Weitere Informationen finden Sie unter Anforderungen für die Verwendung der Zugriffsgenehmigung.
• Aktivieren Sie Access Transparency für Ihre Organisation. Weitere Informationen finden Sie unter Access Transparency aktivieren.
• Prüfen Sie, ob Sie die IAM-Rolle Access Approval Config Editor (roles/accessapproval.configEditor) haben. Weitere Informationen zu IAM-Rollen für die Zugriffsgenehmigung finden Sie unter Rollen für die Zugriffsgenehmigung.

Projekt erstellen Google Cloud

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben Google Cloud, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI installieren

Installieren Sie die Google Cloud CLI. Initialisieren Sie nach der Installation, initialisieren Sie die Google Cloud CLI mit dem folgenden Befehl:

gcloud init

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Wählen Sie bei Aufforderung das Projekt aus, das Sie zuvor ausgewählt oder erstellt haben.

Wenn Sie die Google Cloud CLI bereits installiert haben, aktualisieren Sie sie mit dem folgenden Befehl:

gcloud components update

Terraform-Konfigurationsdatei erstellen

1. Öffnen Sie Cloud Shell, um eine eigenständige Cloud Shell Sitzung zu starten.
2. Öffnen Sie einen Arbeitsbereich.
3. Erstellen Sie einen neuen Ordner.
4. Fügen Sie diesem Ordner eine Terraform-Konfigurationsdatei mit dem Namen main.tf hinzu.

5. Kopieren Sie die folgende Ressource und fügen Sie sie in die Datei main.tf ein.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Geben Sie Werte für die folgenden Variablen ein:

   • email_1 und email_2: Geben Sie die E-Mail-Adressen der Nutzer an, die Sie als Prüfer für die Zugriffsanfragen für dieses Projekt festlegen möchten.

   • parent_value: Name des Ordners, in dem Sie den Ordner my_folder erstellen möchten. Weitere Informationen zu Ordnern finden Sie unter Ordner erstellen und verwalten.

Terraform-Konfigurationsdatei ausführen

Führen Sie die folgenden Befehle in Cloud Shell aus.

1. Initialisieren Sie Terraform im Verzeichnis.

   terraform init
   

2. Führen Sie die erstellte Terraform-Konfigurationsdatei aus.

   terraform apply
   

3. Geben Sie bei Aufforderung zur Bestätigung, ob Sie die Konfigurationsdatei ausführen möchten, yes ein.

Weitere Informationen zum Verwenden der Zugriffsgenehmigung mit Terraform, finden Sie in diesem Terraform-Dokument: google_folder_access_approval_settings.

Nächste Schritte

• Terraform mit verwenden Google Cloud
• Terraform mit der Zugriffsgenehmigung verwenden
• Erste Schritte mit Terraform in Google Cloud
• Terraform in Google Cloud mit Cloud Shell starten