Control de acceso con IAM

En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurarse en Access Context Manager.

Funciones requeridas

En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:

Acción Funciones y permisos obligatorios
Crea una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.create

Rol que proporciona el permiso: rol Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)

Enumera una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.list

Roles que proporcionan el permiso: rol de editor de Access Context Manager (roles/accesscontextmanager.policyEditor)

Rol de lector de Access Context Manager (roles/accesscontextmanager.policyReader)

Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.

Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.

Los siguientes roles de IAM seleccionados proporcionan los permisos necesarios para ver o configurar los niveles de acceso, o bien otorgar permisos a los administradores delegados en políticas centradas con la herramienta de línea de comandos de gcloud:

  • Administrador de Access Context Manager: roles/accesscontextmanager.policyAdmin
  • Editor de Access Context Manager: roles/accesscontextmanager.policyEditor
  • Lector de Access Context Manager: roles/accesscontextmanager.policyReader

Además, para permitir que tus usuarios administren Access Context Manager La consola de Google Cloud, el visualizador de organización de Resource Manager (roles/resourcemanager.organizationViewer) es obligatorio.

Para otorgar uno de estos roles, usa la consola de Google Cloud o Usa la herramienta de línea de comandos de gcloud:

El administrador permite el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

El editor permite el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

El visualizador permite el acceso de solo lectura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

El visualizador de la organización permite el acceso a los Controles del servicio de VPC a través de la consola de Google Cloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

¿Qué sigue?