Control de acceso con IAM

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurarse en Access Context Manager.

Funciones requeridas

En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:

Acción Funciones y permisos obligatorios
Crea una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.create

Función que proporciona el permiso: función de editor de Access Context Manager (roles/accesscontextmanager.policyEditor)

Enumera una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.list

Funciones que proporcionan el permiso: función de editor de Access Context Manager (roles/accesscontextmanager.policyEditor)

Función de lector de Access Context Manager (roles/accesscontextmanager.policyReader)

Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.

Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.

Las siguientes funciones de IAM seleccionadas proporcionan los permisos necesarios para ver o configurar niveles de acceso o otorgar permisos a administradores delegados en políticas con alcance mediante la herramienta de línea de comandos de gcloud:

  • Administrador de Access Context Manager: roles/accesscontextmanager.policyAdmin
  • Editor de Access Context Manager: roles/accesscontextmanager.policyEditor
  • Lector de Access Context Manager: roles/accesscontextmanager.policyReader

Además, para permitir que tus usuarios administren Access Context Manager con Google Cloud Console, se requiere la función de visualizador de la organización de Resource Manager (roles/resourcemanager.organizationViewer).

Para otorgar una de estas funciones, usa Google Cloud Console o la herramienta de línea de comandos de gcloud:

El administrador permite el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

El editor permite el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

El visualizador permite el acceso de solo lectura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

El visualizador de la organización permite el acceso a los Controles del servicio de VPC mediante Google Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

¿Qué sigue?