このページでは、VPC Service Controls の構成に必要な Identity and Access Management(IAM)のロールについて説明します。
必要なロール
次の表に、アクセス ポリシーの作成と一覧表示に必要な権限とロールを示します。
| アクション | 必要な権限とロール |
|---|---|
| 組織レベルのアクセス ポリシーまたはスコープ ポリシーを作成する | 権限:
権限を付与するロール: Access Context Manager 編集者のロール( |
| 組織レベルのアクセス ポリシーまたはスコープ ポリシーを一覧表示する | 権限:
|
組織レベルでこれらの権限がある場合は、スコープ ポリシーの作成、一覧表示、委任を行うことができます。スコープ ポリシーを作成したら、スコープ ポリシーに対する IAM バインディングを追加することで、ポリシーを管理する権限を付与できます。
組織レベルで付与された権限は、組織レベルのポリシーやスコープ ポリシーを含むすべてのアクセス ポリシーに適用されます。
次の IAM 事前定義ロールは、サービス境界とアクセスレベルを表示または構成するために必要な権限を提供します。
- Access Context Manager 管理者(
roles/accesscontextmanager.policyAdmin) - Access Context Manager 編集者(
roles/accesscontextmanager.policyEditor) - Access Context Manager 読み取り(
roles/accesscontextmanager.policyReader)
これらのロールのいずれかを付与するには、Google Cloud コンソールを使用するか、gcloud CLI で次のいずれかのコマンドを実行します。ORGANIZATION_ID は、Google Cloud 組織の ID に置き換えます。
読み取り / 書き込みアクセスを許可する Manager 管理者ロールを付与する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyAdmin"
読み取り / 書き込みアクセスを許可する Manager 編集者ロールを付与する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyEditor"
読み取り専用アクセスを許可する Manager 読み取りのロールを付与する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyReader"