Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Konfiguration für Access Context Manager erforderlich sind.
Erforderliche Rollen
In der folgenden Tabelle sind die Berechtigungen und Rollen aufgeführt, die zum Erstellen und Auflisten von Zugriffsrichtlinien erforderlich sind:
| Aktion | Erforderliche Berechtigungen und Rollen |
|---|---|
| Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen |
Berechtigung:
Rolle mit der Berechtigung: Access Context Manager-Bearbeiterrolle ( |
| Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten |
Berechtigung:
Rollen mit der Berechtigung: Rolle „Access Context Manager-Bearbeiter“
( Rolle "Access Context Manager-Leser"
( |
Sie können auf einen Bereich reduzierte Richtlinien nur erstellen, auflisten oder delegieren, wenn Sie die entsprechenden Berechtigungen haben auf Organisationsebene an. Nachdem Sie eine Bereichsrichtlinie erstellt haben, können Sie die Berechtigung zum Verwalten der Richtlinie erteilen, indem Sie IAM-Bindungen für die Bereichsrichtlinie hinzufügen.
Auf Organisationsebene gewährte Berechtigungen gelten für alle Zugriffsrichtlinien, einschließlich der Richtlinie auf Organisationsebene und aller Richtlinien mit Bereich.
Die folgenden ausgewählten IAM-Rollen bieten die erforderlichen Berechtigungen
Hier können Sie Zugriffsebenen ansehen oder konfigurieren oder delegierten Administratoren Berechtigungen erteilen.
für bereichsspezifische Richtlinien mit dem gcloud-Befehlszeilentool:
- Access Context Manager-Administrator:
roles/accesscontextmanager.policyAdmin - Access Context Manager-Bearbeiter:
roles/accesscontextmanager.policyEditor - Access Context Manager-Leser:
roles/accesscontextmanager.policyReader
Damit Nutzer Access Context Manager über die Google Cloud Console verwalten können, ist außerdem die Rolle „Organisationsbetrachter“ (roles/resourcemanager.organizationViewer) erforderlich.
Verwenden Sie die Google Cloud Console, um eine dieser Rollen zuzuweisen.
Verwenden Sie das gcloud-Befehlszeilentool:
Administrator mit Lese- und Schreibzugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Bearbeiter mit Lese- und Schreibzugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Leser mit schreibgeschütztem Zugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Der Organisationsbetrachter ermöglicht den Zugriff auf VPC Service Controls über die Google Cloud Console
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"