Controle de acesso com o IAM

Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o Access Context Manager.

Funções exigidas

A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:

Ação Permissões e papéis obrigatórios

Criar uma política de acesso no nível da organização ou políticas com escopo

Ação	Permissões e papéis obrigatórios
Criar uma política de acesso no nível da organização ou políticas com escopo	Permissão: `accesscontextmanager.policies.create` Papel que fornece a permissão: papel de editor do Access Context Manager (`roles/accesscontextmanager.policyEditor`)
Liste uma política de acesso no nível da organização ou políticas com escopo	Permissão: `accesscontextmanager.policies.list` Papéis que concedem a permissão: papel de Editor do Access Context Manager (`roles/accesscontextmanager.policyEditor`) Papel de leitor do Access Context Manager (`roles/accesscontextmanager.policyReader`)

Permissão: accesscontextmanager.policies.create

Papel que fornece a permissão: papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.list

Papéis que concedem a permissão: papel de Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Papel de leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Só é possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.

As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.

Os seguintes papéis do IAM selecionados fornecem as permissões necessárias para visualizar ou configurar níveis de acesso ou conceder permissões a administradores delegados em políticas com escopo usando a ferramenta de linha de comando gcloud:

Administrador do Access Context Manager: roles/accesscontextmanager.policyAdmin
Editor do Access Context Manager: roles/accesscontextmanager.policyEditor
Leitor do Access Context Manager: roles/accesscontextmanager.policyReader

Além disso, para permitir que os usuários gerenciem o Access Context Manager usando o Console do Google Cloud, o papel de Leitor da organização do Resource Manager (roles/resourcemanager.organizationViewer) é necessário.

Para conceder um desses papéis, use o console do Google Cloud ou a ferramenta de linha de comando gcloud:

Administrador permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Editor permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leitor permite acesso somente leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

O Leitor da organização permite acesso ao VPC Service Controls usando o console do Google Cloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"