Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página descreve as funções de gestão de identidade e de acesso (IAM) necessárias para
configurar o Gestor de contexto de acesso.
Funções necessárias
A tabela seguinte lista as autorizações e as funções necessárias para criar e listar
políticas de acesso:
Ação
Autorizações e funções necessárias
Crie uma política de acesso ao nível da organização ou políticas com âmbito
Autorização: accesscontextmanager.policies.create
Função que concede a autorização: função de editor do Gestor de acesso sensível ao contexto
(roles/accesscontextmanager.policyEditor)
Liste uma política de acesso ao nível da organização ou políticas com âmbito
Autorização: accesscontextmanager.policies.list
Funções que concedem a autorização: função de editor do Gestor de acesso sensível ao contexto
(roles/accesscontextmanager.policyEditor)
Função de leitor do Gestor de acesso sensível ao contexto
(roles/accesscontextmanager.policyReader)
Só pode criar, listar ou delegar políticas com âmbito se tiver essas autorizações ao nível da organização. Depois de criar uma política com âmbito, pode conceder autorização para gerir a política adicionando associações da IAM à política com âmbito.
As autorizações concedidas ao nível da organização aplicam-se a todas as políticas de acesso, incluindo a política ao nível da organização e quaisquer políticas com âmbito.
As seguintes funções de IAM preparadas oferecem as autorizações necessárias
para ver ou configurar níveis de acesso ou conceder autorizações a administradores delegados
em políticas com âmbito usando a ferramenta de linha de comandos gcloud:
Administrador do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyAdmin
Editor do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyEditor
Leitor do Gestor de acesso sensível ao contexto: roles/accesscontextmanager.policyReader
Além disso, para permitir que os seus utilizadores façam a gestão do Gestor de contexto de acesso através da
Google Cloud consola, é necessária a função Visualizador da organização do Resource Manager
(roles/resourcemanager.organizationViewer).
Para conceder uma destas funções, use a Google Cloud consola ou
use a ferramenta de linha de comandos gcloud:
O administrador permite o acesso de leitura/escrita
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eSuper administrators have default permissions for Access Context Manager roles, but require the Resource Manager Organization Viewer role to manage it via the Google Cloud console.\u003c/p\u003e\n"],["\u003cp\u003eCreating or listing access policies requires the \u003ccode\u003eaccesscontextmanager.policies.create\u003c/code\u003e or \u003ccode\u003eaccesscontextmanager.policies.list\u003c/code\u003e permission, which are provided by the Access Context Manager Editor or Reader roles respectively.\u003c/p\u003e\n"],["\u003cp\u003eScoped policy management is independent of folder or project permissions, and permissions must be granted at the organization level.\u003c/p\u003e\n"],["\u003cp\u003eThe Access Context Manager Admin, Editor, and Reader roles provide read-write or read-only access for managing access levels or delegating permissions, and the Resource Manager Organization Viewer role is required for console management.\u003c/p\u003e\n"],["\u003cp\u003eUsers with resource ownership in the organization can potentially learn access level names without having the proper permissions, as seen in cases like Identity-Aware Proxy generating JWTs.\u003c/p\u003e\n"]]],[],null,["# Access control with IAM\n\nThis page describes the Identity and Access Management (IAM) roles required to\nconfigure to Access Context Manager.\n\nRequired roles\n--------------\n\n| **Note:** [Super administrators](/resource-manager/docs/super-admin-best-practices) are granted the permissions provided by the Access Context Manager roles by default. However, if you want the super admin to be able to manage Access Context Manager using the Google Cloud console, you must still assign the Resource Manager Organization Viewer role.\n\nThe following table lists the permissions and roles required to create and list\naccess policies:\n\nYou can only create, list, or delegate scoped policies if you have those permissions\nat the organization level. After you create a scoped policy, you can grant permission to\nmanage the policy by adding IAM bindings on the scoped policy.\n\nPermissions granted at the organization-level apply to all access policies, including\nthe organization-level policy and any scoped policies.\n| **Note:** Any Access Context Manager permissions granted on folders or projects have no effect on scoped policies as permissions can only be granted at the organization-level or on individual policies. The access control for scoped policies is independent of the projects or folders in their scopes.\n\nThe following curated IAM roles provide the necessary permissions\nto view or configure access levels or grant permissions to delegated administrators\non scoped policies using the `gcloud` command-line tool:\n\n- Access Context Manager Admin: `roles/accesscontextmanager.policyAdmin`\n- Access Context Manager Editor: `roles/accesscontextmanager.policyEditor`\n- Access Context Manager Reader: `roles/accesscontextmanager.policyReader`\n\nAdditionally, to let your users manage Access Context Manager using the\nGoogle Cloud console, the Resource Manager Organization Viewer\n(`roles/resourcemanager.organizationViewer`) role is required.\n| **Note:** Users that own resources in the organization could learn the names of access levels even without the required permissions. For example, Identity-Aware Proxy generates a JWT with a [`google.accessLevels`](/iap/docs/signed-headers-howto#verifying_the_jwt_payload) claim that contains the access level names satisfied by the request.\n\nTo grant one of these roles, [use the Google Cloud console](/iam/docs/granting-changing-revoking-access) or\nuse the `gcloud` command-line tool:\n\n### Admin allows read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyAdmin\"\n```\n\n### Editor allows read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyEditor\"\n```\n\n### Reader allows read-only access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyReader\"\n```\n\n### Organization Viewer allows access to VPC Service Controls using the Google Cloud console\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/resourcemanager.organizationViewer\"\n```\n\nWhat's next\n-----------\n\n- [Access Context Manager overview](/access-context-manager/docs/overview)\n- [Create an access policy](/access-context-manager/docs/create-access-policy)"]]
