使用 IAM 控制访问权限

本页面介绍配置 Access Context Manager 所需的 Identity and Access Management (IAM) 角色。

所需的角色

下表列出了创建和列出访问权限政策所需的权限和角色：

操作	所需的权限和角色
创建组织级层的访问权限政策或范围限定的政策	权限：accesscontextmanager.policies.create 提供权限的角色：Access Context Manager Editor 角色 (roles/accesscontextmanager.policyEditor)
列出组织级层的访问权限政策或范围限定的政策	权限：accesscontextmanager.policies.list 提供以下权限的角色：Access Context Manager Editor 角色 (roles/accesscontextmanager.policyEditor) Access Context Manager Reader 角色 (roles/accesscontextmanager.policyReader)

仅当您在组织级别拥有这些权限时，才能创建、列出或委托作用域政策。创建范围限定的政策后，您可以通过对范围限定的政策添加 IAM 绑定来授予管理政策的权限。

在组织级层授予的权限适用于所有访问权限政策，包括组织级层政策以及任何范围限定的政策。

以下精选 IAM 角色提供必要的权限，以使用 gcloud 命令行工具查看或配置访问权限级别，或者向委派的管理员授予范围政策的权限：

• Access Context Manager Admin：roles/accesscontextmanager.policyAdmin
• Access Context Manager Editor：roles/accesscontextmanager.policyEditor
• Access Context Manager Reader：roles/accesscontextmanager.policyReader

此外，如需允许用户使用 Google Cloud 控制台管理 Access Context Manager，则需要 Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer) 角色。

如需授予这些角色之一，请使用 Google Cloud 控制台或使用 gcloud 命令行工具：

Admin 提供读写访问权限

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Editor 提供读写访问权限

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Reader 提供只读访问权限

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Organization Viewer 允许使用 Google Cloud 控制台访问 VPC Service Controls

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

后续步骤

• Access Context Manager 概览
• 创建访问权限政策