使用 IAM 进行访问权限控制

本页介绍配置 VPC Service Controls 所需的 Identity and Access Management (Cloud IAM) 角色。

所需的角色

下表列出了创建和列出访问权限政策所需的权限和角色:

操作 所需的权限和角色
创建组织级层的访问权限政策或范围限定的政策

权限:accesscontextmanager.policies.create

提供该权限的角色:Access Context Manager Editor 角色 (roles/accesscontextmanager.policyEditor)

列出组织级层的访问权限政策或范围限定的政策

权限:accesscontextmanager.policies.list

提供该权限的角色:
  • Access Context Manager Editor 角色 (roles/accesscontextmanager.policyEditor)
  • Access Context Manager Reader 角色 (roles/accesscontextmanager.policyReader)

仅当您在组织级层拥有这些权限时,才能创建、列出或委派范围限定的政策。创建范围限定的政策后,您可以通过对范围限定的政策添加 IAM 绑定来授予管理政策的权限。

在组织级层授予的权限适用于所有访问权限政策,包括组织级层政策以及任何范围限定的政策。

以下预定义的 IAM 角色提供必要权限,以允许查看或配置服务边界和访问权限级别:

  • Access Context Manager Admin (roles/accesscontextmanager.policyAdmin)
  • Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
  • Access Context Manager Reader (roles/accesscontextmanager.policyReader)

如需授予其中一个角色,请使用 Google Cloud 控制台 或在 gcloud CLI 中运行以下命令之一。将 ORGANIZATION_ID 替换为您的 Google Cloud 组织的 ID。

授予 Manager Admin 角色以允许读写访问

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

授予 Manager Editor 角色以允许读写访问

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

授予 Manager Reader 角色以允许只读访问

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"