In questa pagina vengono descritti i ruoli IAM (Identity and Access Management) necessari per configurare i Controlli di servizio VPC.
Ruoli obbligatori
La tabella seguente elenca le autorizzazioni e i ruoli necessari per creare ed elencare i criteri di accesso:
Azione | Autorizzazioni e ruoli obbligatori |
---|---|
Crea criteri di accesso o criteri con ambito a livello di organizzazione |
Autorizzazione:
Ruolo che fornisce l'autorizzazione: ruolo Editor Gestore contesto accesso
( |
Elenca un criterio di accesso a livello di organizzazione o di criteri con ambito |
Autorizzazione:
|
Puoi creare, elencare o delegare i criteri con ambito solo se disponi di queste autorizzazioni a livello di organizzazione. Dopo aver creato un criterio con ambito, puoi concedere l'autorizzazione per gestirlo aggiungendo associazioni IAM sul criterio con ambito.
Le autorizzazioni concesse a livello di organizzazione si applicano a tutti i criteri di accesso, inclusi quelli a livello di organizzazione e qualsiasi criterio con ambito.
I seguenti ruoli IAM predefiniti forniscono le autorizzazioni necessarie per visualizzare o configurare i perimetri di servizio e i livelli di accesso:
- Amministratore Gestore contesto accesso (
roles/accesscontextmanager.policyAdmin
) - Editor Gestore contesto accesso (
roles/accesscontextmanager.policyEditor
) - Lettore Gestore contesto accesso (
roles/accesscontextmanager.policyReader
)
Per concedere uno di questi ruoli, utilizza la console Google Cloud o esegui uno dei seguenti comandi nellgcloud CLI. Sostituisci ORGANIZATION_ID
con l'ID della tua organizzazione Google Cloud.
Concedi il ruolo Amministratore di gestore per consentire l'accesso in lettura/scrittura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Concedi il ruolo di Gestore per consentire l'accesso in lettura/scrittura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Concedi il ruolo di lettore gestore gestore per consentire l'accesso di sola lettura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"