Cette page décrit les rôles de gestion de l'authentification et des accès (IAM) requis pour la configuration d'Access Context Manager.
Rôles requis
Le tableau suivant répertorie les autorisations et les rôles requis pour créer et répertorier des règles d'accès :
| Action | Autorisations et rôles requis |
|---|---|
| Créer des règles limitées ou une règle d'accès au niveau de l'organisation |
Autorisation:
Rôle accordant l'autorisation: rôle "Éditeur Access Context Manager" ( |
| Répertorier des règles limitées ou une règle d'accès au niveau de l'organisation |
Autorisation:
Rôles accordant l'autorisation: rôle "Éditeur Access Context Manager" ( Rôle de lecteur Access Context Manager ( |
Vous ne pouvez créer, répertorier ou déléguer des règles à champ d'application que si vous disposez de ces autorisations au niveau de l'organisation. Après avoir créé une règle limitée, vous pouvez autoriser sa gestion en ajoutant des liaisons IAM à la règle limitée.
Les autorisations accordées au niveau de l'organisation s'appliquent à toutes les règles d'accès, y compris à la règle au niveau de l'organisation et à toutes les règles limitées.
Les rôles IAM organisés ci-dessous fournissent les autorisations nécessaires pour afficher ou configurer les niveaux d'accès, ou pour accorder des autorisations aux administrateurs délégués sur des stratégies étendues à l'aide de l'outil de ligne de commande gcloud:
- Administrateur Access Context Manager :
roles/accesscontextmanager.policyAdmin - Éditeur Access Context Manager :
roles/accesscontextmanager.policyEditor - Lecteur Access Context Manager :
roles/accesscontextmanager.policyReader
En outre, pour permettre à vos utilisateurs de gérer Access Context Manager à l'aide de la console Google Cloud, le rôle de lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer) est requis.
Pour attribuer l'un de ces rôles, utilisez la console Google Cloud ou l'outil de ligne de commande gcloud:
Le rôle Administrateur autorise un accès en lecture/écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Le rôle Éditeur autorise un accès en lecture-écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Le rôle Lecteur autorise un accès en lecture seule
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Lecteur de l'organisation permet d'accéder à VPC Service Controls à l'aide de la console Google Cloud
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"