Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurar los Controles del servicio de VPC.
Funciones requeridas
En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:
Acción
Funciones y permisos obligatorios
Crea una política de acceso a nivel de la organización o políticas con alcance
Permiso: accesscontextmanager.policies.create
Rol que proporciona el permiso: rol de editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
Enumera una política de acceso a nivel de la organización o políticas con alcance
Permiso: accesscontextmanager.policies.list
Roles que proporcionan el permiso:
Rol de editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
Rol de lector de Access Context Manager (roles/accesscontextmanager.policyReader)
Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.
Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.
Las siguientes funciones predefinidas de IAM proporcionan los permisos necesarios para ver o configurar perímetros de servicio y niveles de acceso:
Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
Lector de Access Context Manager (roles/accesscontextmanager.policyReader)
Para otorgar uno de estos roles, usa la Google Cloud consola o ejecuta uno de los siguientes comandos en la CLI de gcloud. Reemplaza ORGANIZATION_ID por el ID de tu organización Google Cloud.
Otorga la función de administrador de administrador para permitir el acceso de lectura/escritura
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Access control with IAM\n\nThis page describes the Identity and Access Management (IAM) roles required to\nconfigure VPC Service Controls.\n\nRequired roles\n--------------\n\nThe following table lists the permissions and roles required to create and list\naccess policies:\n\nYou can only create, list, or delegate [scoped policies](/access-context-manager/docs/scoped-policies) if you have those permissions\nat the organization level. After you create a scoped policy, you can grant permission to\nmanage the policy by adding IAM bindings on the scoped policy.\n\nPermissions granted at the organization-level apply to all access policies, including\nthe organization-level policy and any scoped policies.\n| **Note:** Any Access Context Manager permissions granted on folders or projects have no effect on scoped policies as permissions can only be granted at the organization-level or on individual policies. The access control for scoped policies is independent of the projects or folders in their scopes.\n\nThe following predefined IAM roles provide the necessary\npermissions to view or configure service perimeters and access levels:\n\n- Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n- Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Access Context Manager Reader (`roles/accesscontextmanager.policyReader`)\n\nTo grant one of these roles, use [the Google Cloud console](/iam/docs/granting-changing-revoking-access) or run\none of the following commands in the gcloud CLI. Replace\n\u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e with the ID of your Google Cloud\norganization.\n\n### Grant Manager Admin role to allow read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyAdmin\"\n```\n\n### Grant Manager Editor role to allow read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyEditor\"\n```\n\n### Grant Manager Reader role to allow read-only access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyReader\"\n```"]]