Attivazione di Access Approval utilizzando Terraform

Terraform è uno strumento software open source Infrastructure as Code che consente di gestire le richieste di approvazione dell'accesso. Terraform ti consente di eseguire tutte le azioni che puoi eseguire utilizzando le API Access Approval.

Questa pagina descrive come attivare Access Approval utilizzando Terraform. Questo tutorial utilizza il provider Terraform.Google Cloud

Obiettivo

Questo tutorial spiega come creare un file di configurazione Terraform che:

• Imposta gli indirizzi email per le notifiche delle richieste di approvazione dell'accesso.
• Attiva Access Approval per tutti i prodotti supportati. Google Cloud Per l'elenco completo dei Google Cloud prodotti supportati da Access Approval, consulta Servizi supportati.

Prima di iniziare

• Per utilizzare Access Approval e Access Transparency, la tua organizzazione deve soddisfare requisiti di assistenza specifici. Per maggiori informazioni, consulta Requisiti per l'utilizzo dell'approvazione dell'accesso.
• Attiva Access Transparency nella tua organizzazione. Per saperne di più, consulta Attivazione di Access Transparency.
• Assicurati di disporre del ruolo IAM (Identity and Access Management) Editor configurazione approvazione accesso (roles/accessapproval.configEditor). Per saperne di più sui ruoli IAM per l'approvazione dell'accesso, consulta Ruoli dell'approvazione dell'accesso.

Creazione di un progetto Google Cloud

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Enable the Access Approval API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installazione di Google Cloud CLI

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Quando richiesto, scegli il progetto che hai selezionato o creato in precedenza.

Se hai già installato Google Cloud CLI, aggiornala utilizzando il seguente comando:

gcloud components update

Creazione di un file di configurazione Terraform

1. Apri Cloud Shell per avviare una sessione di Cloud Shell autonoma.
2. Apri un workspace.
3. Crea una nuova cartella.
4. Aggiungi a questa cartella un file di configurazione Terraform denominato main.tf.

5. Copia la seguente risorsa e incollala nel file main.tf.

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   Inserisci i valori per le seguenti variabili:

   • email_1 e email_2: fornisci gli indirizzi email degli utenti che vuoi impostare come revisori delle richieste di accesso per questo progetto.

   • parent_value: il nome della cartella in cui vuoi creare la cartella my_folder. Per ulteriori informazioni sulle cartelle, vedi Creazione e gestione delle cartelle.

Esecuzione del file di configurazione Terraform

Esegui questi comandi in Cloud Shell.

1. Inizializza Terraform nella directory.

   terraform init
   

2. Esegui il file di configurazione Terraform creato.

   terraform apply
   

3. Quando ti viene chiesto di confermare se vuoi eseguire il file di configurazione, digita yes.

Per saperne di più sul funzionamento di Access Approval con Terraform, consulta questo documento di Terraform: google_folder_access_approval_settings.

Passaggi successivi

• Utilizzo di Terraform con Google Cloud
• Utilizzo di Terraform con Access Approval
• Guida introduttiva a Terraform su Google Cloud
• Inizia a utilizzare Terraform su Google Cloud con Cloud Shell