Rôles IAM pour l'administration d'Access Context Manager

Cette page décrit les rôles de gestion de l'authentification et des accès (IAM) requis pour la configuration d'Access Context Manager.

Rôles requis

Les rôles IAM organisés présentés ci-dessous fournissent les autorisations nécessaires pour afficher ou configurer des niveaux d'accès à l'aide de l'outil de ligne de commande gcloud :

  • Administrateur Access Context Manager : roles/accesscontextmanager.policyAdmin
  • Éditeur Access Context Manager : roles/accesscontextmanager.policyEditor
  • Lecteur Access Context Manager : roles/accesscontextmanager.policyReader

Notez en outre que pour permettre à vos utilisateurs de gérer Access Context Manager à l'aide de Google Cloud Console, vous devez leur accorder le rôle de Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).

Pour accorder l'un de ces rôles, utilisez Cloud Console ou l'outil de ligne de commande gcloud :

Le rôle Administrateur autorise un accès en lecture-écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Le rôle Éditeur autorise un accès en lecture-écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Le rôle Lecteur autorise un accès en lecture seule

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de Cloud Console.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"