Attivazione di Access Approval utilizzando Terraform

Terraform è uno strumento software open source per l'infrastruttura come codice che ti consente di gestire le richieste di Access Approval. Terraform ti consente di eseguire tutte le azioni che puoi eseguire utilizzando le API di Access Approval.

Questa pagina descrive come attivare Access Approval utilizzando Terraform. Questo tutorial utilizza il Google Cloud provider Terraform.

Obiettivo

Questo tutorial spiega come creare un file di configurazione Terraform che:

• Imposta gli indirizzi email per le notifiche delle richieste di approvazione dell'accesso.
• Attiva Access Approval per tutti i prodotti supportati Google Cloud . Per l'elenco completo dei Google Cloud prodotti supportati da Access Approval, consulta Servizi supportati.

Prima di iniziare

• Per utilizzare Access Approval e Access Transparency, la tua organizzazione deve soddisfare requisiti di assistenza specifici. Per saperne di più, consulta Requisiti per l'utilizzo di Access Approval.
• Attiva Access Transparency nella tua organizzazione. Per saperne di più, consulta Attivare Access Transparency.
• Assicurati di disporre del ruolo IAM (Identity and Access Management) Editor di configurazione di Access Approval (roles/accessapproval.configEditor). Per saperne di più sui ruoli IAM per Access Approval, consulta Ruoli di Access Approval.

Creazione di un Google Cloud progetto

Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installazione di Google Cloud CLI

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Quando ti viene richiesto, scegli il progetto che hai selezionato o creato in precedenza.

Se hai già installato Google Cloud CLI, aggiornalo utilizzando il seguente comando:

gcloud components update

Creazione di un file di configurazione Terraform

1. Apri Cloud Shell per avviare una sessione di Cloud Shell autonoma.
2. Apri uno spazio di lavoro.
3. Crea una nuova cartella.
4. Aggiungi un file di configurazione Terraform denominato main.tf a questa cartella.

5. Copia la seguente risorsa e incollala nel file main.tf.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Inserisci i valori delle seguenti variabili:

   • email_1 e email_2: fornisci gli indirizzi email degli utenti che vuoi impostare come revisori per le richieste di accesso a questo progetto.

   • parent_value: nome della cartella in cui vuoi creare la cartella my_folder. Per saperne di più sulle cartelle, consulta Creare e gestire le cartelle.

Esecuzione del file di configurazione Terraform

Esegui questi comandi in Cloud Shell.

1. Inizializza Terraform nella directory.

   terraform init
   

2. Esegui il file di configurazione Terraform creato.

   terraform apply
   

3. Quando ti viene chiesto di confermare se vuoi eseguire il file di configurazione, inserisci yes.

Per saperne di più sull'utilizzo di Access Approval con Terraform, consulta questo documento di Terraform: google_folder_access_approval_settings.

Passaggi successivi

• Utilizzo di Terraform con Google Cloud
• Utilizzo di Terraform con Access Approval
• Iniziare a utilizzare Terraform su Google Cloud
• Avviare Terraform su Google Cloud con Cloud Shell