使用 IAM 控管存取權

本頁面說明使用存取權核准功能時,所需的 Identity and Access Management (IAM) 角色。

必要的角色

以下各節會說明使用存取權核准功能執行各種操作時,所需的 IAM 角色和權限。這些章節也提供授予必要角色的操作說明。

查看存取權核准要求和設定

下表列出查看存取權核准要求和設定所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予存取權核准要求檢視者 (roles/accessapproval.viewer) 角色,請按照下列步驟操作:

控制台

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往身分與存取權管理頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格中的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「請選擇角色」欄位,然後從選單中選取「Access Approval Viewer」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

更改下列內容:

  • ORGANIZATION_ID:機構 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

如要進一步瞭解這個指令,請參閱 gcloud organizations add-iam-policy-binding

查看及核准存取權核准要求

下表列出查看及核准 Access Approval 要求所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予存取權核准要求核准者 (roles/accessapproval.approver) 角色,請按照下列步驟操作:

控制台

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往身分與存取權管理頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格中的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「請選取角色」欄位,然後從選單中選取「存取權核准核准者」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

更改下列內容:

  • ORGANIZATION_ID:機構 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

更新存取權核准設定

下表列出更新存取權核准設定所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予存取權核准設定編輯者 (roles/accessapproval.configEditor) 角色,請按照下列步驟操作:

控制台

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往身分與存取權管理頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格中的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「Select a role」欄位,然後從選單中選取「Access Approval Config Editor」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

更改下列內容:

  • ORGANIZATION_ID:機構 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

撤銷現有的存取權核准要求

下表列出讓已核准的現有存取權核准要求失效所需的 IAM 權限:

預先定義的 IAM 角色 所需權限和角色
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

如要授予「存取權核准無效者」(roles/accessapproval.invalidator) 角色,請按照下列步驟操作:

控制台

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往身分與存取權管理頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格中的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「請選擇角色」欄位,然後從選單中選取「Access Approval Invalidator」角色。
  5. 按一下「Save」(儲存)

gcloud

執行下列指令:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

更改下列內容:

  • ORGANIZATION_ID:機構 ID。
  • EMAIL_ID:使用者的電子郵件 ID。

後續步驟