Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.
Erforderliche Rollen
In der folgenden Tabelle sind die Berechtigungen und Rollen aufgeführt, die zum Erstellen und Auflisten von Zugriffsrichtlinien erforderlich sind:
Aktion | Erforderliche Berechtigungen und Rollen |
---|---|
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen |
Berechtigung:
Rolle mit der Berechtigung: Access Context Manager-Bearbeiterrolle ( |
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten |
Berechtigung:
|
Sie können Bereichsrichtlinien nur erstellen, auflisten oder delegieren, wenn Sie diese Berechtigungen auf Organisationsebene haben. Nachdem Sie eine Bereichsrichtlinie erstellt haben, können Sie die Berechtigung zum Verwalten der Richtlinie erteilen, indem Sie IAM-Bindungen für die Bereichsrichtlinie hinzufügen.
Auf Organisationsebene gewährte Berechtigungen gelten für alle Zugriffsrichtlinien, einschließlich der Richtlinie auf Organisationsebene und aller Richtlinien mit Bereich.
Die folgenden vordefinierten IAM-Rollen bieten die erforderlichen Berechtigungen, um Dienstperimeter und Zugriffsebenen aufzurufen oder zu konfigurieren:
- Access Context Manager-Administrator (
roles/accesscontextmanager.policyAdmin
) - Access Context Manager-Bearbeiter (
roles/accesscontextmanager.policyEditor
) - Access Context Manager-Leser (
roles/accesscontextmanager.policyReader
)
Zum Zuweisen einer dieser Rollen können Sie die Google Cloud Console verwenden oder einen der folgenden Befehle in der gcloud CLI ausführen. Ersetzen Sie ORGANIZATION_ID
durch die ID Ihrer Google Cloud-Organisation.
Rolle "Manager-Administrator" zuweisen, um Lese- und Schreibzugriff zu gewähren
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Rolle "Manager-Bearbeiter" zuweisen, um Lese- und Schreibzugriff zu gewähren
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Rolle "Manager-Leser" zuweisen, um Lesezugriff zu gewähren
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"