Controle de acesso com o IAM

Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o Access Context Manager.

Papéis exigidos

A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:

Ação Permissões e papéis obrigatórios
Criar uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.create

Papel que fornece a permissão: papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.list

Papéis com a permissão: papel Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Papel Leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Só será possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.

As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.

Os papéis selecionados do IAM a seguir fornecem as permissões necessárias para visualizar ou configurar níveis de acesso ou conceder permissões a administradores delegados em políticas de escopo usando a ferramenta de linha de comando gcloud:

  • Administrador do Access Context Manager: roles/accesscontextmanager.policyAdmin
  • Editor do Access Context Manager: roles/accesscontextmanager.policyEditor
  • Leitor do Access Context Manager: roles/accesscontextmanager.policyReader

Além disso, para permitir que os usuários gerenciem o Access Context Manager usando o console do Google Cloud, é necessário o papel Visualizador da Organização do Resource Manager (roles/resourcemanager.organizationViewer).

Para conceder um desses papéis, use o console do Google Cloud ou use a ferramenta de linha de comando gcloud:

Administrador permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Editor permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leitor permite acesso somente leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

O Leitor da organização permite acesso ao VPC Service Controls usando o console do Google Cloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

A seguir