本页面介绍配置 Access Context Manager 所需的 Identity and Access Management (IAM) 角色。
所需的角色
下表列出了创建和列出访问权限政策所需的权限和角色:
操作 | 所需的权限和角色 |
---|---|
创建组织级层的访问权限政策或范围限定的政策 |
权限:
提供该权限的角色:Access Context Manager Editor 角色 ( |
列出组织级层的访问权限政策或范围限定的政策 |
权限:
提供此权限的角色:Access Context Manager Editor 角色
( Access Context Manager Reader 角色 ( |
您必须拥有创建、列出或委托作用域政策,才能创建、列出或委托 组织级别的权限。创建范围限定的政策后,您可以通过对范围限定的政策添加 IAM 绑定来授予管理政策的权限。
在组织级层授予的权限适用于所有访问权限政策,包括组织级层政策以及任何范围限定的政策。
以下精选 IAM 角色提供了使用 gcloud
命令行工具查看或配置访问权限级别,或向受委托的管理员授予对受限政策的权限所需的权限:
- Access Context Manager Admin:
roles/accesscontextmanager.policyAdmin
- Access Context Manager Editor:
roles/accesscontextmanager.policyEditor
- Access Context Manager Reader:
roles/accesscontextmanager.policyReader
此外,若要让您的用户使用
Google Cloud 控制台、Resource Manager Organization Viewer
需要 (roles/resourcemanager.organizationViewer
) 角色。
如需授予其中一个角色,请使用 Google Cloud 控制台或使用 gcloud
命令行工具:
Admin 提供读写访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Editor 提供读写访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Reader 提供只读访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Organization Viewer 允许使用 Google Cloud 控制台访问 VPC Service Controls
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"