本页介绍配置 VPC Service Controls 所需的 Identity and Access Management (Cloud IAM) 角色。
所需的角色
下表列出了创建和列出访问权限政策所需的权限和角色:
| 操作 | 所需的权限和角色 |
|---|---|
| 创建组织级层的访问权限政策或范围限定的政策 |
权限:
提供该权限的角色:Access Context Manager Editor 角色 ( |
| 列出组织级层的访问权限政策或范围限定的政策 | 权限:
|
仅当您在组织级层拥有这些权限时,才能创建、列出或委派范围限定的政策。创建范围限定的政策后,您可以通过对范围限定的政策添加 IAM 绑定来授予管理政策的权限。
在组织级层授予的权限适用于所有访问权限政策,包括组织级层政策以及任何范围限定的政策。
以下预定义的 IAM 角色提供必要权限,以允许查看或配置服务边界和访问权限级别:
- Access Context Manager Admin (
roles/accesscontextmanager.policyAdmin) - Access Context Manager Editor (
roles/accesscontextmanager.policyEditor) - Access Context Manager Reader (
roles/accesscontextmanager.policyReader)
如需授予其中一个角色,请使用 Google Cloud 控制台 或在 gcloud CLI 中运行以下命令之一。将 ORGANIZATION_ID 替换为您的 Google Cloud 组织的 ID。
授予 Manager Admin 角色以允许读写访问
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
授予 Manager Editor 角色以允许读写访问
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
授予 Manager Reader 角色以允许只读访问
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"