IAM によるアクセス制御

このページでは、Access Context Manager の構成に必要な Identity and Access Management（IAM）のロールについて説明します。

必要なロール

次の表に、アクセス ポリシーの作成と一覧表示に必要な権限とロールを示します。

組織レベルでのこれらの権限がある場合は、スコープ ポリシーの作成、一覧表示、委任を行うことができます。スコープ ポリシーを作成したら、スコープ ポリシーに対する IAM バインディングを追加することで、ポリシーを管理する権限を付与できます。

組織レベルで付与された権限は、組織レベルのポリシーやスコープ ポリシーを含むすべてのアクセス ポリシーに適用されます。

次の厳選された IAM ロールは、アクセスレベルを表示または構成するために必要なアクセス許可を提供するか、gcloud コマンドライン ツールを使用してスコープ ポリシーの委任された管理者にアクセス許可を付与します。

• Access Context Manager 管理者: roles/accesscontextmanager.policyAdmin
• Access Context Manager 編集者: roles/accesscontextmanager.policyEditor
• Access Context Manager 読者: roles/accesscontextmanager.policyReader

さらに、ユーザーが Google Cloud コンソールを使用して Access Context Manager を管理できるようにするには、Resource Manager 組織閲覧者（roles/resourcemanager.organizationViewer）のロールが必要です。

これらのロールのいずれかを付与するには、Google Cloud コンソールを使用するか gcloud コマンドライン ツールを使用します。

管理者に読み取り / 書き込みアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

編集者に読み取り / 書き込みアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

閲覧者に読み取り専用アクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Google Cloud コンソールを使用して、組織閲覧者で VPC Service Controls へのアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

次のステップ

• Access Context Manager の概要
• アクセス ポリシーを作成する