Questa pagina è stata tradotta dall'API Cloud Translation.

Controllo dell'accesso con IAM

Questa pagina descrive i ruoli di Identity and Access Management (IAM) necessari per configurare i Controlli di servizio VPC.

Ruoli obbligatori

Nella tabella seguente sono elencati le autorizzazioni e i ruoli necessari per creare ed elencare criteri di accesso:

Azione Autorizzazioni e ruoli richiesti

Crea un criterio di accesso a livello di organizzazione o criteri con ambito

Azione	Autorizzazioni e ruoli richiesti
Crea un criterio di accesso a livello di organizzazione o criteri con ambito	Autorizzazione: `accesscontextmanager.policies.create` Ruolo che fornisce l'autorizzazione: ruolo Editor Gestore contesto accesso (`roles/accesscontextmanager.policyEditor`)
Elenca un criterio di accesso a livello di organizzazione o criteri con ambito	Autorizzazione: `accesscontextmanager.policies.list` Ruoli che forniscono l'autorizzazione: Ruolo Editor Gestore contesto accesso (`roles/accesscontextmanager.policyEditor`) Ruolo Lettore Gestore contesto accesso (`roles/accesscontextmanager.policyReader`)

Autorizzazione: accesscontextmanager.policies.create

Ruolo che fornisce l'autorizzazione: ruolo Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)

Elenca un criterio di accesso a livello di organizzazione o criteri con ambito

Autorizzazione: accesscontextmanager.policies.list

Ruoli che forniscono l'autorizzazione:

Ruolo Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
Ruolo Lettore Gestore contesto accesso (roles/accesscontextmanager.policyReader)

Puoi creare, elencare o delegare i criteri basati sugli ambiti solo se disponi di queste autorizzazioni a livello di organizzazione. Dopo aver creato un criterio con ambito, puoi concedere l'autorizzazione a gestire il criterio aggiungendo associazioni IAM al criterio con ambito.

Le autorizzazioni concesse a livello di organizzazione si applicano a tutti i criteri di accesso, incluso il criterio a livello di organizzazione e eventuali criteri basati su ambito.

I seguenti ruoli IAM predefiniti forniscono autorizzazioni per visualizzare o configurare i perimetri di servizio e i livelli di accesso:

Amministratore Gestore contesto accesso (roles/accesscontextmanager.policyAdmin)
Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
Lettore Gestore contesto accesso (roles/accesscontextmanager.policyReader)

Per concedere uno di questi ruoli, utilizza la console Google Cloud o esegui uno dei seguenti comandi in gcloud CLI. Sostituisci ORGANIZATION_ID con l'ID del tuo account Google Cloud dell'organizzazione.

Concedi il ruolo di amministratore di Gestore per consentire l'accesso in lettura e scrittura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Concedi il ruolo Editor di Gestione sovvenzioni per consentire l'accesso in lettura e scrittura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Concedi il ruolo Gestore con il ruolo di lettore per consentire l'accesso in sola lettura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"