Cette page a été traduite par l'API Cloud Translation.

Contrôle des accès avec IAM

Cette page décrit les rôles de gestion de l'authentification et des accès (IAM) requis pour la configuration d'Access Context Manager.

Rôles requis

Le tableau suivant répertorie les autorisations et les rôles requis pour créer et répertorier des règles d'accès :

Action Autorisations et rôles requis

Créer des règles limitées ou une règle d'accès au niveau de l'organisation

Action	Autorisations et rôles requis
Créer des règles limitées ou une règle d'accès au niveau de l'organisation	Autorisation : `accesscontextmanager.policies.create` Rôle fournissant l'autorisation: rôle Éditeur Access Context Manager (`roles/accesscontextmanager.policyEditor`)
Répertorier des règles limitées ou une règle d'accès au niveau de l'organisation	Autorisation : `accesscontextmanager.policies.list` Rôles fournissant l'autorisation: rôle Éditeur Access Context Manager (`roles/accesscontextmanager.policyEditor`) Rôle de lecteur Access Context Manager (`roles/accesscontextmanager.policyReader`)

Autorisation : accesscontextmanager.policies.create

Rôle fournissant l'autorisation: rôle Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)

Répertorier des règles limitées ou une règle d'accès au niveau de l'organisation

Autorisation : accesscontextmanager.policies.list

Rôles fournissant l'autorisation: rôle Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)

Rôle de lecteur Access Context Manager (roles/accesscontextmanager.policyReader)

Vous ne pouvez créer, répertorier ou déléguer des règles limitées que si vous disposez de ces autorisations au niveau de l'organisation. Après avoir créé une règle limitée, vous pouvez autoriser sa gestion en ajoutant des liaisons IAM à la règle limitée.

Les autorisations accordées au niveau de l'organisation s'appliquent à toutes les règles d'accès, y compris à la règle au niveau de l'organisation et à toutes les règles limitées.

Les rôles IAM sélectionnés ci-dessous fournissent les autorisations nécessaires pour afficher ou configurer des niveaux d'accès, ou accorder des autorisations aux administrateurs délégués sur les stratégies de portée à l'aide de l'outil de ligne de commande gcloud:

Administrateur Access Context Manager : roles/accesscontextmanager.policyAdmin
Éditeur Access Context Manager : roles/accesscontextmanager.policyEditor
Lecteur Access Context Manager : roles/accesscontextmanager.policyReader

En outre, pour permettre à vos utilisateurs de gérer Access Context Manager à l'aide de la consoleGoogle Cloud , vous devez leur accorder le rôle Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).

Pour accorder l'un de ces rôles, utilisez la Google Cloud console ou l'outil de ligne de commande gcloud:

Le rôle Administrateur autorise un accès en lecture/écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Le rôle Éditeur autorise un accès en lecture-écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Le rôle Lecteur autorise un accès en lecture seule

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de la console Google Cloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"