En esta página se describen los roles de Gestión de Identidades y Accesos (IAM) necesarios para configurar el Administrador de contextos de acceso.
Roles obligatorios
En la siguiente tabla se indican los permisos y roles necesarios para crear y enumerar políticas de acceso:
| Acción | Permisos y roles necesarios |
|---|---|
| Crear una política de acceso a nivel de organización o políticas con ámbito |
Permiso:
Rol que proporciona el permiso: rol Editor del Administrador de contextos de acceso
( |
| Mostrar una política de acceso a nivel de organización o políticas con ámbito |
Permiso:
Roles que proporcionan el permiso: rol Editor del Administrador de contextos de acceso
( Rol Lector del Administrador de contextos de acceso
( |
Solo puedes crear, enumerar o delegar políticas con ámbito si tienes esos permisos a nivel de organización. Después de crear una política de ámbito, puedes conceder permiso para gestionar la política añadiendo enlaces de gestión de identidades y accesos a la política de ámbito.
Los permisos concedidos a nivel de organización se aplican a todas las políticas de acceso, incluida la política a nivel de organización y las políticas con ámbito.
Los siguientes roles de gestión de identidades y accesos seleccionados proporcionan los permisos necesarios para ver o configurar niveles de acceso, o bien para conceder permisos a administradores delegados en políticas con ámbito mediante la herramienta de línea de comandos gcloud:
- Administrador de contextos de acceso:
roles/accesscontextmanager.policyAdmin - Editor del Administrador de contextos de acceso:
roles/accesscontextmanager.policyEditor - Lector del Administrador de contextos de acceso:
roles/accesscontextmanager.policyReader
Además, para permitir que los usuarios gestionen Access Context Manager mediante laGoogle Cloud consolaroles/resourcemanager.organizationViewer, se necesita el rol Lector de la organización de Resource Manager (roles/resourcemanager.organizationViewer).
Para asignar una de estas funciones, usa la consola Google Cloud o la herramienta de línea de comandos gcloud:
El administrador permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
El editor permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Lector permite el acceso de solo lectura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
El rol Lector de la organización permite acceder a Controles de Servicio de VPC mediante la Google Cloud consola
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"