Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Konfiguration für Access Context Manager erforderlich sind.

Erforderliche Rollen

In der folgenden Tabelle sind die Berechtigungen und Rollen aufgeführt, die zum Erstellen und Auflisten von Zugriffsrichtlinien erforderlich sind:

Aktion Erforderliche Berechtigungen und Rollen

Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen

Aktion	Erforderliche Berechtigungen und Rollen
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen	Berechtigung: `accesscontextmanager.policies.create` Rolle mit der Berechtigung: Access Context Manager-Bearbeiterrolle (`roles/accesscontextmanager.policyEditor`)
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten	Berechtigung: `accesscontextmanager.policies.list` Rollen mit der Berechtigung: Access Context Manager-Bearbeiterrolle (`roles/accesscontextmanager.policyEditor`) Access Context Manager-Leserrolle (`roles/accesscontextmanager.policyReader`)

Berechtigung: accesscontextmanager.policies.create

Rolle mit der Berechtigung: Access Context Manager-Bearbeiterrolle (roles/accesscontextmanager.policyEditor)

Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten

Berechtigung: accesscontextmanager.policies.list

Rollen mit der Berechtigung: Access Context Manager-Bearbeiterrolle (roles/accesscontextmanager.policyEditor)

Access Context Manager-Leserrolle (roles/accesscontextmanager.policyReader)

Sie können Richtlinien mit begrenztem Umfang nur erstellen, auflisten oder delegieren, wenn Sie diese Berechtigungen auf Organisationsebene haben. Nachdem Sie eine Bereichsrichtlinie erstellt haben, können Sie die Berechtigung zum Verwalten der Richtlinie erteilen, indem Sie IAM-Bindungen für die Bereichsrichtlinie hinzufügen.

Auf Organisationsebene gewährte Berechtigungen gelten für alle Zugriffsrichtlinien, einschließlich der Richtlinie auf Organisationsebene und aller Richtlinien mit Bereich.

Die folgenden ausgewählten IAM-Rollen bieten die erforderlichen Berechtigungen, um Zugriffsebenen mit dem gcloud-Befehlszeilentool aufzurufen oder zu konfigurieren oder delegierten Administratoren Berechtigungen für Richtlinien mit Bereichsbeschränkung zu gewähren:

Access Context Manager-Administrator: roles/accesscontextmanager.policyAdmin
Access Context Manager-Bearbeiter: roles/accesscontextmanager.policyEditor
Access Context Manager-Leser: roles/accesscontextmanager.policyReader

Damit Nutzer Access Context Manager über dieGoogle Cloud -Konsole verwalten können, ist außerdem die Rolle „Organisationsbetrachter“ (roles/resourcemanager.organizationViewer) erforderlich.

Zum Zuweisen einer dieser Rollen können Sie die Google Cloud Console oder das gcloud-Befehlszeilentool verwenden:

Administrator mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Bearbeiter mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leser mit schreibgeschütztem Zugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Organisationsbetrachter mit Zugriff auf VPC Service Controls über die Google Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"