Activer Access Approval à l'aide de Terraform

Terraform est un outil logiciel d'Infrastructure as Code Open Source qui vous permet de gérer vos demandes Access Approval. Terraform vous permet d'effectuer toutes les actions que vous pouvez effectuer à l'aide des API Access Approval.

Cette page explique comment activer Access Approval à l'aide de Terraform. Ce tutoriel utilise le Google Cloud fournisseur Terraform.

Objectif

Ce tutoriel explique comment créer un fichier de configuration Terraform qui :

• définit les adresses e-mail pour les notifications de demande Access Approval ;
• active Access Approval pour tous les produits compatibles Google Cloud . Pour obtenir la liste complète des Google Cloud produits compatibles avec Access Approval, consultez la page Services compatibles.

Avant de commencer

• Pour utiliser Access Approval et Access Transparency, votre organisation doit répondre à des exigences d'assistance spécifiques. Pour en savoir plus, consultez Exigences pour l'utilisation d' Access Approval.
• Activez Access Transparency dans votre organisation. Pour en savoir plus, consultez Activer Access Transparency.
• Assurez-vous de disposer du rôle IAM (Identity and Access Management) Éditeur de configuration Access Approval (roles/accessapproval.configEditor). Pour en savoir plus sur les rôles IAM pour Access Approval, consultez Rôles Access Approval.

Créer un Google Cloud projet

Connectez-vous à votre Google Cloud compte. Si vous n'avez jamais utilisé Google Cloud, créez un compte pour évaluer les performances de nos produits dans des scénarios réels. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installer Google Cloud CLI

Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisezla en exécutant la commande suivante :

gcloud init

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Lorsque vous y êtes invité, choisissez le projet que vous avez sélectionné ou créé précédemment.

Si Google Cloud CLI est déjà installé, mettez-le à jour à l'aide de la commande suivante :

gcloud components update

Créer un fichier de configuration Terraform

1. Ouvrez Cloud Shell pour lancer une session Cloud Shell autonome.
2. Ouvrez un espace de travail.
3. Créez un dossier.
4. Ajoutez un fichier de configuration Terraform nommé main.tf à ce dossier.

5. Copiez la ressource suivante et collez-la dans votre fichier main.tf.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Saisissez des valeurs pour les variables suivantes :

   • email_1 et email_2 : fournissez les adresses e-mail des utilisateurs que vous souhaitez définir comme examinateurs pour les demandes d'accès à ce projet.

   • parent_value: nom du dossier dans lequel vous souhaitez créer le dossier my_folder. Pour en savoir plus sur les dossiers, consultez Créer et gérer des dossiers.

Exécuter le fichier de configuration Terraform

Exécutez les commandes suivantes dans Cloud Shell.

1. Initialisez Terraform dans le répertoire.

   terraform init
   

2. Exécutez le fichier de configuration Terraform créé.

   terraform apply
   

3. Lorsque vous êtes invité à confirmer si vous souhaitez exécuter le fichier de configuration, saisissez yes.

Pour en savoir plus sur l'utilisation d'Access Approval avec Terraform, consultez ce document Terraform : google_folder_access_approval_settings.

Étape suivante

• Utiliser Terraform avec Google Cloud
• Utiliser Terraform avec Access Approval
• Premiers pas avec Terraform sur Google Cloud
• Démarrer Terraform sur Google Cloud avec Cloud Shell