Esta página se ha traducido con Cloud Translation API.

Control de acceso con la gestión de identidades y accesos

En esta página se describen los roles de Gestión de Identidades y Accesos (IAM) necesarios para configurar Controles de Servicio de VPC.

Roles obligatorios

En la siguiente tabla se indican los permisos y roles necesarios para crear y enumerar políticas de acceso:

Acción Permisos y roles necesarios

Crear una política de acceso a nivel de organización o políticas con ámbito

Acción	Permisos y roles necesarios
Crear una política de acceso a nivel de organización o políticas con ámbito	Permiso: `accesscontextmanager.policies.create` Rol que proporciona el permiso: rol Editor del Administrador de contextos de acceso (`roles/accesscontextmanager.policyEditor`)
Mostrar una política de acceso a nivel de organización o políticas con ámbito	Permiso: `accesscontextmanager.policies.list` Roles que proporcionan el permiso: Rol Editor del Administrador de contextos de acceso (`roles/accesscontextmanager.policyEditor`) Rol Lector del Administrador de contextos de acceso (`roles/accesscontextmanager.policyReader`)

Permiso: accesscontextmanager.policies.create

Rol que proporciona el permiso: rol Editor del Administrador de contextos de acceso (roles/accesscontextmanager.policyEditor)

Mostrar una política de acceso a nivel de organización o políticas con ámbito

Permiso: accesscontextmanager.policies.list

Roles que proporcionan el permiso:

Rol Editor del Administrador de contextos de acceso (roles/accesscontextmanager.policyEditor)
Rol Lector del Administrador de contextos de acceso (roles/accesscontextmanager.policyReader)

Solo puedes crear, enumerar o delegar políticas con ámbito si tienes esos permisos a nivel de organización. Después de crear una política de ámbito, puedes conceder permiso para gestionar la política añadiendo enlaces de gestión de identidades y accesos a la política de ámbito.

Los permisos concedidos a nivel de organización se aplican a todas las políticas de acceso, incluida la política a nivel de organización y las políticas con ámbito.

Los siguientes roles de gestión de identidades y accesos predefinidos proporcionan los permisos necesarios para ver o configurar perímetros de servicio y niveles de acceso:

Administrador de contextos de acceso (roles/accesscontextmanager.policyAdmin)
Editor del Administrador de contextos de acceso (roles/accesscontextmanager.policyEditor)
Lector del Administrador de contextos de acceso (roles/accesscontextmanager.policyReader)

Para asignar uno de estos roles, usa la consola Google Cloud o ejecuta uno de los siguientes comandos en gcloud CLI. Sustituye ORGANIZATION_ID por el ID de tu Google Cloud organización.

Asigna el rol de administrador de gestor para permitir el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Asigna el rol Editor de Gestor para permitir el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Asigna el rol Lector de Grant para permitir el acceso de solo lectura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"