Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.

Erforderliche Rollen

In der folgenden Tabelle sind die Berechtigungen und Rollen aufgeführt, die zum Erstellen und Auflisten von Zugriffsrichtlinien erforderlich sind:

Aktion Erforderliche Berechtigungen und Rollen

Zugriffsrichtlinie oder bereichsbezogene Richtlinien auf Organisationsebene erstellen

Aktion	Erforderliche Berechtigungen und Rollen
Zugriffsrichtlinie oder bereichsbezogene Richtlinien auf Organisationsebene erstellen	Berechtigung: `accesscontextmanager.policies.create` Rolle, die die Berechtigung gewährt: „Access Context Manager Editor“ (`roles/accesscontextmanager.policyEditor`)
Zugriffsrichtlinie oder bereichsbezogene Richtlinien auf Organisationsebene auflisten	Berechtigung: `accesscontextmanager.policies.list` Rollen, die die Berechtigung gewähren: „Access Context Manager Edit“ (`roles/accesscontextmanager.policyEditor`) „Access Context Manager Reader“ (`roles/accesscontextmanager.policyReader`)

Berechtigung: accesscontextmanager.policies.create

Rolle, die die Berechtigung gewährt: „Access Context Manager Editor“ (roles/accesscontextmanager.policyEditor)

Zugriffsrichtlinie oder bereichsbezogene Richtlinien auf Organisationsebene auflisten

Berechtigung: accesscontextmanager.policies.list

Rollen, die die Berechtigung gewähren:

„Access Context Manager Edit“ (roles/accesscontextmanager.policyEditor)
„Access Context Manager Reader“ (roles/accesscontextmanager.policyReader)

Sie können bereichsbezogene Richtlinien nur erstellen, auflisten oder delegieren, wenn Sie diese Berechtigungen auf Organisationsebene haben. Nachdem Sie eine bereichsbezogene Richtlinie erstellt haben, können Sie die Verwaltungsberechtigung erteilen, indem Sie IAM-Bindungen für diese Richtlinie hinzufügen.

Auf Organisationsebene gewährte Berechtigungen gelten für alle Zugriffsrichtlinien, einschließlich der Richtlinie auf Organisationsebene sowie aller bereichsbezogenen Richtlinien.

Die folgenden vordefinierten IAM-Rollen bieten die erforderlichen Berechtigungen, um Dienstperimeter und Zugriffsebenen aufzurufen oder zu konfigurieren:

Access Context Manager Admin (roles/accesscontextmanager.policyAdmin)
Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
Access Context Manager Reader (roles/accesscontextmanager.policyReader)

Zum Zuweisen einer dieser Rollen können Sie die Google Cloud Console verwenden oder einen der folgenden Befehle in der gcloud CLI ausführen. Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisation Google Cloud.

Rolle „Manager-Admin“ zuweisen, um Lese- und Schreibzugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Rolle „Manager Editor“ zuweisen, um Lese- und Schreibzugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Rolle „Manager Reader“ zuweisen, um Lesezugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"