Control de acceso con la gestión de identidades y accesos
En esta página se describen los roles de Gestión de Identidades y Accesos (IAM) necesarios para usar Access Approval.
Roles obligatorios
En las siguientes secciones se mencionan los roles y permisos de gestión de identidades y accesos necesarios para realizar varias acciones con Aprobación de acceso. En las secciones también se explica cómo conceder los roles necesarios.
Ver solicitudes y configuración de aprobación de acceso
En la siguiente tabla se indican los permisos de IAM necesarios para ver las solicitudes y la configuración de Aprobación de acceso:
| Rol de gestión de identidades y accesos predefinido | Permisos y roles necesarios |
|---|---|
roles/accessapproval.viewer
|
|
Para conceder el rol Lector de aprobaciones de acceso (roles/accessapproval.viewer), sigue estos pasos:
Consola
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Seleccionar un rol y, en el menú, selecciona el rol Lector de aprobaciones de acceso.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.viewer'
Haz los cambios siguientes:
- ORGANIZATION_ID: el ID de la organización.
- EMAIL_ID: el ID de correo del usuario.
Para obtener más información sobre el comando, consulta gcloud organizations add-iam-policy-binding.
Ver y aprobar una solicitud de aprobación de acceso
En la siguiente tabla se indican los permisos de gestión de identidades y accesos necesarios para ver y aprobar una solicitud de Aprobación de acceso:
| Rol de gestión de identidades y accesos predefinido | Permisos y roles necesarios |
|---|---|
roles/accessapproval.approver
|
|
Para asignar el rol Aprobador de aprobaciones de acceso (roles/accessapproval.approver), sigue estos pasos:
Consola
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Seleccionar un rol y, en el menú, selecciona el rol Aprobador de aprobaciones de acceso.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Haz los cambios siguientes:
- ORGANIZATION_ID: el ID de la organización.
- EMAIL_ID: el ID de correo del usuario.
Actualizar la configuración de Aprobación de acceso
En la siguiente tabla se indican los permisos de gestión de identidades y accesos necesarios para actualizar la configuración de Aprobación de acceso:
| Rol de gestión de identidades y accesos predefinido | Permisos y roles necesarios |
|---|---|
roles/accessapproval.configEditor
|
|
Para asignar el rol Editor de configuración de aprobaciones de acceso (roles/accessapproval.configEditor), sigue estos pasos:
Consola
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Seleccionar un rol y, en el menú, selecciona el rol Editor de configuración de aprobación de acceso.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.approver'
Haz los cambios siguientes:
- ORGANIZATION_ID: el ID de la organización.
- EMAIL_ID: el ID de correo del usuario.
Invalidar solicitudes de aprobación de acceso
En la siguiente tabla se indican los permisos de gestión de identidades y accesos necesarios para invalidar las solicitudes de Access Approval aprobadas:
| Rol de gestión de identidades y accesos predefinido | Permisos y roles necesarios |
|---|---|
roles/accessapproval.invalidator
|
|
Para conceder el rol Access Approval Invalidator (roles/accessapproval.invalidator), sigue estos pasos:
Consola
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Selecciona un rol y, en el menú, selecciona el rol Invalidador de aprobaciones de acceso.
- Haz clic en Guardar.
gcloud
Ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='user:EMAIL_ID' \
--role='roles/accessapproval.invalidator'
Haz los cambios siguientes:
- ORGANIZATION_ID: el ID de la organización.
- EMAIL_ID: el ID de correo del usuario.
Siguientes pasos
- Conceder o revocar un solo rol de gestión de identidades y accesos
- Gestionar el acceso a cuentas de servicio