Control de acceso con IAM

En esta página, se describen los roles de Identity and Access Management (IAM) necesarios Aprobación de acceso.

Roles obligatorios

En las siguientes secciones, se mencionan los roles y permisos de IAM necesarios para realizar diversas acciones con la Aprobación de acceso. Las secciones también proporcionamos instrucciones para otorgar los roles necesarios.

Ver las solicitudes de aprobación de acceso y la configuración

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver Solicitudes de aprobación de acceso y configuración:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar el Visualizador de aprobaciones de acceso (roles/accessapproval.viewer) profesional de seguridad, haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu correo electrónico. web.
  4. Haz clic en el campo Selecciona un rol y elige el Visualizador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.

Cómo ver y aprobar una solicitud de aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para ver y aprobar una solicitud de Aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar al responsable de aprobación de acceso (roles/accessapproval.approver), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu correo electrónico. web.
  4. Haz clic en el campo Seleccionar una función y selecciona el rol Aprobador de la aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: El ID de correo electrónico del usuario.

Actualiza la configuración de Aprobación de acceso

En la siguiente tabla, se enumeran los permisos de IAM necesarios para actualizar la configuración de la aprobación de acceso:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para otorgar acceso al Editor de configuración de aprobación de acceso, haz lo siguiente: (roles/accessapproval.configEditor), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu correo electrónico. web.
  4. Haz clic en el campo Selecciona un rol y elige el Editor de configuración de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: Es el ID del correo electrónico del usuario.

Invalidar las solicitudes de Aprobación de acceso existentes

En la siguiente tabla, se enumeran los permisos de IAM necesarios para invalidar las solicitudes de Aprobación de acceso existentes que se aprobaron:

Roles de IAM predefinidos Roles y permisos obligatorios
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cómo otorgar el Invalidador de aprobación de acceso (roles/accessapproval.invalidator), haz lo siguiente:

Console

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu correo electrónico. web.
  4. Haz clic en el campo Selecciona un rol y elige el el rol Invalidador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

gcloud

Ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID de la organización.
  • EMAIL_ID: Es el ID del correo electrónico del usuario.

¿Qué sigue?