Kontrol akses dengan IAM

Halaman ini menjelaskan peran Identity and Access Management (IAM) yang diperlukan untuk dikonfigurasi ke Access Context Manager.

Peran yang diperlukan

Tabel berikut mencantumkan izin dan peran yang diperlukan untuk membuat dan mencantumkan kebijakan akses:

Tindakan Izin dan peran yang diperlukan
Membuat kebijakan akses tingkat organisasi atau kebijakan cakupan

Izin: accesscontextmanager.policies.create

Peran yang memberikan izin: Peran Access Context Manager Editor (roles/accesscontextmanager.policyEditor)

Cantumkan kebijakan akses tingkat organisasi atau kebijakan cakupan

Izin: accesscontextmanager.policies.list

Peran yang memberikan izin: Peran Access Context Manager Editor (roles/accesscontextmanager.policyEditor)

Peran Reader Access Context Manager (roles/accesscontextmanager.policyReader)

Anda hanya dapat membuat, mencantumkan, atau mendelegasikan kebijakan cakupan jika memiliki izin tersebut di tingkat organisasi. Setelah membuat kebijakan cakupan, Anda dapat memberikan izin untuk mengelola kebijakan dengan menambahkan binding IAM pada kebijakan cakupan.

Izin yang diberikan pada tingkat organisasi berlaku untuk semua kebijakan akses, termasuk kebijakan tingkat organisasi dan kebijakan cakupan apa pun.

Peran IAM yang diseleksi berikut memberikan izin yang diperlukan untuk melihat atau mengonfigurasi tingkat akses atau memberikan izin kepada administrator yang didelegasikan terkait kebijakan cakupan menggunakan alat command line gcloud:

  • Admin Access Context Manager: roles/accesscontextmanager.policyAdmin
  • Editor Access Context Manager: roles/accesscontextmanager.policyEditor
  • Pembaca Access Context Manager: roles/accesscontextmanager.policyReader

Selain itu, untuk mengizinkan pengguna mengelola Access Context Manager menggunakan Konsol Google Cloud, peran Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer) diperlukan.

Untuk memberikan salah satu peran ini, gunakan Konsol Google Cloud atau gunakan alat command line gcloud:

Admin mengizinkan akses baca-tulis

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Editor memungkinkan akses baca-tulis

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Pembaca memungkinkan akses hanya baca

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Organization Viewer mengizinkan akses ke Kontrol Layanan VPC menggunakan Google Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

Langkah selanjutnya