En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurarse en Access Context Manager.
Funciones obligatorias
En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:
| Acción | Funciones y permisos obligatorios |
|---|---|
| Crea una política de acceso a nivel de la organización o políticas con alcance |
Permiso:
Rol que proporciona el permiso: Rol de Editor de Access Context Manager
( |
| Enumera una política de acceso a nivel de la organización o políticas con alcance |
Permiso:
Funciones que proporcionan el permiso: Rol de editor de Access Context Manager ( Función de lector de Access Context Manager ( |
Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.
Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.
Las siguientes funciones de IAM seleccionadas proporcionan los permisos necesarios para ver o configurar los niveles de acceso, o bien otorgar permisos a administradores delegados sobre políticas con permiso mediante la herramienta de línea de comandos de gcloud:
- Administrador de Access Context Manager:
roles/accesscontextmanager.policyAdmin - Editor de Access Context Manager:
roles/accesscontextmanager.policyEditor - Lector de Access Context Manager:
roles/accesscontextmanager.policyReader
Además, para permitir que los usuarios administren Access Context Manager con la consola de Google Cloud, se requiere la función de visualizador de la organización de Resource Manager (roles/resourcemanager.organizationViewer).
Para otorgar uno de estos roles, usa la consola de Google Cloud o
la herramienta de línea de comandos de gcloud:
El administrador permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
El editor permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
El visualizador permite el acceso de solo lectura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
El visualizador de la organización permite el acceso a los Controles del servicio de VPC con la consola de Google Cloud
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"