Os nomes de alguns pacotes de controle do Assured Workloads estão mudando. Para saber mais sobre a mudança de nome, consulte Aviso de renomeação do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM) necessários para usar a aprovação de acesso.

Funções exigidas

As seções a seguir mencionam os papéis e as permissões do IAM necessários para realizar várias ações com a Aprovação de acesso. As seções também fornecem instruções sobre como conceder os papéis necessários.

Acessar solicitações e a configuração do Access Approval

A tabela a seguir lista as permissões do IAM necessárias para visualizar pedidos e configurações de aprovação de acesso:

Papel do IAM predefinido	Permissões e papéis obrigatórios
`roles/accessapproval.viewer`	accessapproval.requests.get accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Para conceder o papel de Visualizador de aprovação de acesso (roles/accessapproval.viewer), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

Acesse a página IAM no Google Cloud console.
Acessar o IAM
Na guia Visualizar por principais, clique em Conceder acesso.
No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
Clique no campo Selecionar um papel e selecione o papel Leitor de aprovação de acesso no menu.
Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

Substitua:

ORGANIZATION_ID: o ID da organização.
EMAIL_ID: o ID de e-mail do usuário.

Para mais informações sobre o comando, consulte gcloud organizations add-iam-policy-binding.

Acessar e aprovar uma solicitação de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para visualizar e aprovar uma solicitação de aprovação de acesso:

Papel do IAM predefinido	Permissões e papéis obrigatórios
`roles/accessapproval.approver`	accessapproval.requests.approve accessapproval.requests.dismiss accessapproval.requests.get accessapproval.requests.invalidate accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Para conceder o papel de Aprovador de acesso (roles/accessapproval.approver), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

Acesse a página IAM no Google Cloud console.
Acessar o IAM
Na guia Visualizar por principais, clique em Conceder acesso.
No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
Clique no campo Selecionar um papel e selecione o papel Aprovador de aprovação de acesso no menu.
Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

ORGANIZATION_ID: o ID da organização.
EMAIL_ID: o ID de e-mail do usuário.

Atualizar a configuração de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para atualizar a configuração da aprovação de acesso:

Papel do IAM predefinido	Permissões e papéis obrigatórios
`roles/accessapproval.configEditor`	accessapproval.serviceAccounts.get accessapproval.settings.delete accessapproval.settings.get accessapproval.settings.update resourcemanager.projects.get resourcemanager.projects.list

Para conceder o papel de editor de configuração da aprovação de acesso (roles/accessapproval.configEditor), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

Acesse a página IAM no Google Cloud console.
Acessar o IAM
Na guia Visualizar por principais, clique em Conceder acesso.
No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
Clique no campo Selecionar um papel e selecione o papel Editor de configuração de aprovação de acesso no menu.
Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

Substitua:

ORGANIZATION_ID: o ID da organização.
EMAIL_ID: o ID de e-mail do usuário.

Invalidar solicitações de aprovação de acesso

A tabela a seguir lista as permissões do IAM necessárias para invalidar solicitações de aprovação de acesso aprovadas:

Papel do IAM predefinido	Permissões e papéis obrigatórios
`roles/accessapproval.invalidator`	accessapproval.requests.get accessapproval.requests.list accessapproval.serviceAccounts.get accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Para conceder o papel de Invalidador de aprovação de acesso (roles/accessapproval.invalidator), faça o seguinte:

Console

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

Acesse a página IAM no Google Cloud console.
Acessar o IAM
Na guia Visualizar por principais, clique em Conceder acesso.
No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
Clique no campo Selecionar um papel e selecione a função Invalidator de aprovação de acesso no menu.
Clique em Salvar.

gcloud

Execute este comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

Substitua:

ORGANIZATION_ID: o ID da organização.
EMAIL_ID: o ID de e-mail do usuário.

Controle de acesso com o IAM

Funções exigidas

Acessar solicitações e a configuração do Access Approval

Console

gcloud

Acessar e aprovar uma solicitação de aprovação de acesso

Console

gcloud

Atualizar a configuração de aprovação de acesso

Console

gcloud

Invalidar solicitações de aprovação de acesso

Console

gcloud

A seguir