IAM-Rollen für die Verwaltung von Access Context Manager

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für die Konfiguration von Access Context Manager erforderlich sind.

Erforderliche Rollen

Die folgenden ausgewählten IAM-Rollen enthalten die erforderlichen Berechtigungen zum Anzeigen oder Konfigurieren von Zugriffsebenen mit dem gcloud-Befehlszeilentool:

  • Access Context Manager-Administrator: roles/accesscontextmanager.policyAdmin
  • Access Context Manager-Bearbeiter: roles/accesscontextmanager.policyEditor
  • Access Context Manager-Leser: roles/accesscontextmanager.policyReader

Damit Nutzer Access Context Manager über die Google Cloud Console verwalten können, ist außerdem die Rolle "Organisationsbetrachter" (rolls/resourcemanager.organizationViewer) erforderlich.

Um eine dieser Rollen zu gewähren, verwenden Sie die Cloud Console oder das gcloud-Befehlszeilentool:

Administrator mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Bearbeiter mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leser mit schreibgeschütztem Zugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Der Organization Viewer ermöglicht den Zugriff auf VPC Service Controls über die Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"