Esta página foi traduzida pela API Cloud Translation.

Controlo de acesso com a IAM

Esta página descreve as funções de gestão de identidade e de acesso (IAM) necessárias para configurar o Gestor de contexto de acesso.

Funções necessárias

A tabela seguinte lista as autorizações e as funções necessárias para criar e listar políticas de acesso:

Ação Autorizações e funções necessárias

Crie uma política de acesso ao nível da organização ou políticas com âmbito

Ação	Autorizações e funções necessárias
Crie uma política de acesso ao nível da organização ou políticas com âmbito	Autorização: `accesscontextmanager.policies.create` Função que concede a autorização: função de editor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyEditor`)
Liste uma política de acesso ao nível da organização ou políticas com âmbito	Autorização: `accesscontextmanager.policies.list` Funções que concedem a autorização: função de editor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyEditor`) Função de leitor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyReader`)

Autorização: accesscontextmanager.policies.create

Função que concede a autorização: função de editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso ao nível da organização ou políticas com âmbito

Autorização: accesscontextmanager.policies.list

Funções que concedem a autorização: função de editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor)

Função de leitor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyReader)

Só pode criar, listar ou delegar políticas com âmbito se tiver essas autorizações ao nível da organização. Depois de criar uma política com âmbito, pode conceder autorização para gerir a política adicionando associações da IAM à política com âmbito.

As autorizações concedidas ao nível da organização aplicam-se a todas as políticas de acesso, incluindo a política ao nível da organização e quaisquer políticas com âmbito.

As seguintes funções de IAM preparadas oferecem as autorizações necessárias para ver ou configurar níveis de acesso ou conceder autorizações a administradores delegados em políticas com âmbito usando a ferramenta de linha de comandos gcloud:

Administrador do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyAdmin
Editor do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyEditor
Leitor do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyReader

Além disso, para permitir que os seus utilizadores façam a gestão do Gestor de contexto de acesso através da Google Cloud consola, é necessária a função Visualizador da organização do Resource Manager (roles/resourcemanager.organizationViewer).

Para conceder uma destas funções, use a Google Cloud consola ou use a ferramenta de linha de comandos gcloud:

O administrador permite o acesso de leitura/escrita

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

O Editor permite o acesso de leitura/escrita

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

O leitor permite o acesso só de leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

O visualizador da organização permite o acesso aos VPC Service Controls através da Google Cloud consola

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"