Cette page décrit les rôles de gestion de l'authentification et des accès (IAM) requis pour la configuration d'Access Context Manager.
Rôles requis
Les rôles IAM organisés présentés ci-dessous fournissent les autorisations nécessaires pour afficher ou configurer des niveaux d'accès à l'aide de l'outil de ligne de commande gcloud :
- Administrateur Access Context Manager :
roles/accesscontextmanager.policyAdmin - Éditeur Access Context Manager :
roles/accesscontextmanager.policyEditor - Lecteur Access Context Manager :
roles/accesscontextmanager.policyReader
Notez en outre que pour permettre à vos utilisateurs de gérer Access Context Manager à l'aide de Google Cloud Console, vous devez leur accorder le rôle de Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).
Pour accorder l'un de ces rôles, utilisez Cloud Console ou l'outil de ligne de commande gcloud :
Le rôle Administrateur autorise un accès en lecture/écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Le rôle Éditeur autorise un accès en lecture-écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Le rôle Lecteur autorise un accès en lecture seule
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de Cloud Console
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"