Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o Access Context Manager.
Papéis exigidos
A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:
| Ação | Permissões e papéis obrigatórios |
|---|---|
| Criar uma política de acesso no nível da organização ou políticas com escopo | Permissão:
Papel que fornece a permissão: papel de editor do Access Context Manager ( |
| Liste uma política de acesso no nível da organização ou políticas com escopo | Permissão:
Papéis com a permissão: papel Editor do Access Context Manager
( Papel Leitor do Access Context Manager
( |
Só será possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.
As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.
Os papéis selecionados do IAM a seguir fornecem as permissões necessárias para visualizar ou configurar níveis de acesso ou conceder permissões a administradores delegados em políticas de escopo usando a ferramenta de linha de comando gcloud:
- Administrador do Access Context Manager:
roles/accesscontextmanager.policyAdmin - Editor do Access Context Manager:
roles/accesscontextmanager.policyEditor - Leitor do Access Context Manager:
roles/accesscontextmanager.policyReader
Além disso, para permitir que os usuários gerenciem o Access Context Manager usando o
console do Google Cloud, é necessário o papel Visualizador da Organização do Resource Manager
(roles/resourcemanager.organizationViewer).
Para conceder um desses papéis, use o console do Google Cloud ou
use a ferramenta de linha de comando gcloud:
Administrador permite acesso para leitura e gravação
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Editor permite acesso para leitura e gravação
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Leitor permite acesso somente leitura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
O Leitor da organização permite acesso ao VPC Service Controls usando o console do Google Cloud
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"