Como ativar a aprovação de acesso usando o Terraform

O Terraform é uma ferramenta de software de infraestrutura como código de código aberto que permite gerenciar seus pedidos de aprovação de acesso. Com o Terraform, é possível realizar todas as ações que podem ser feitas usando as APIs de aprovação de acesso.

Nesta página, descrevemos como ativar a aprovação de acesso usando o Terraform. Este tutorial usa o provedor do TerraformGoogle Cloud .

Objetivo

Neste tutorial, ensinamos como criar um arquivo de configuração do Terraform que:

  • Define endereços de e-mail para notificações de solicitação de aprovação de acesso.
  • Ativa o Access Approval para todos os produtos Google Cloud compatíveis. Para a lista completa de produtos do Google Cloud compatíveis com o Access Approval, consulte Serviços compatíveis.

Antes de começar

Como criar um Google Cloud projeto

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Enable the Access Approval API.

    Enable the API

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Enable the Access Approval API.

    Enable the API

    6.

    Como instalar a Google Cloud CLI

    After installing the Google Cloud CLI, initialize it by running the following command: 

    gcloud init

    If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    Quando solicitado, escolha o projeto que você selecionou ou criou anteriormente.

    Se você já tiver a Google Cloud CLI instalada, atualize-a usando o seguinte comando:

    gcloud components update

    Como criar um arquivo de configuração do Terraform

    1. Abra o Cloud Shell para iniciar uma sessão independente do Cloud Shell.
    2. Abra um espaço de trabalho.
    3. Crie uma nova pasta.
    4. Adicione um arquivo de configuração do Terraform chamado main.tf a essa pasta.

    5. Copie o recurso a seguir e cole no arquivo main.tf.

      main.tf

      variable "parent_value" {
type        = string
}

variable "email_1" {
type        = string
}

variable "email_2" {
type        = string
}

resource "google_folder" "my_folder" {
display_name = "my-folder"
parent       = var.parent_value
# parent = "organizations/123456789"
}

resource "google_folder_access_approval_settings" "folder_access_approval" {
folder_id           = google_folder.my_folder.folder_id
notification_emails = [var.email_1, var.email_2]

enrolled_services {
  cloud_product = "all"
  }
}

      Insira valores para as seguintes variáveis:

      • email_1 e email_2: forneça os endereços de e-mail dos usuários que você quer definir como revisores dos pedidos de acesso para este projeto.
      • parent_value: nome da pasta em que você quer criar a pasta my_folder. Para mais informações sobre pastas, consulte Como criar e gerenciar pastas.

    Como executar o arquivo de configuração do Terraform

    Execute os comandos a seguir no Cloud Shell.

    1. Inicialize o Terraform no diretório.

      terraform init

    2. Execute o arquivo de configuração do Terraform criado.

      terraform apply

    3. Quando for solicitado que você confirme se quer executar o arquivo de configuração, digite yes.

    Para mais informações sobre como operar o Access Approval com o Terraform, consulte este documento do Terraform: google_folder_access_approval_settings.

    A seguir