Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.

Erforderliche Rollen

In der folgenden Tabelle sind die Berechtigungen und Rollen aufgeführt, die zum Erstellen und Auflisten von Zugriffsrichtlinien erforderlich sind:

Aktion Erforderliche Berechtigungen und Rollen

Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen

Aktion	Erforderliche Berechtigungen und Rollen
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene erstellen	Berechtigung: `accesscontextmanager.policies.create` Rolle mit der Berechtigung: VPC Service Controls-Bearbeiterrolle (`roles/accesscontextmanager.policyEditor`)
Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten	Berechtigung: `accesscontextmanager.policies.list` Rollen mit der Berechtigung: VPC Service Controls-Bearbeiterrolle (`roles/accesscontextmanager.policyEditor`) VPC Service Controls-Leserolle (`roles/accesscontextmanager.policyReader`)

Berechtigung: accesscontextmanager.policies.create

Rolle mit der Berechtigung: VPC Service Controls-Bearbeiterrolle (roles/accesscontextmanager.policyEditor)

Zugriffsrichtlinie oder Bereichsrichtlinien auf Organisationsebene auflisten

Berechtigung: accesscontextmanager.policies.list

Rollen mit der Berechtigung:

VPC Service Controls-Bearbeiterrolle (roles/accesscontextmanager.policyEditor)
VPC Service Controls-Leserolle (roles/accesscontextmanager.policyReader)

Sie können Bereichsrichtlinien nur erstellen, auflisten oder delegieren, wenn Sie diese Berechtigungen auf Organisationsebene haben. Nachdem Sie eine Bereichsrichtlinie erstellt haben, können Sie die Berechtigung zum Verwalten der Richtlinie erteilen, indem Sie IAM-Bindungen für die Bereichsrichtlinie hinzufügen.

Auf Organisationsebene gewährte Berechtigungen gelten für alle Zugriffsrichtlinien, einschließlich der Richtlinie auf Organisationsebene und aller Richtlinien mit Bereich.

Die folgenden vordefinierten IAM-Rollen bieten die erforderlichen Berechtigungen, um Dienstperimeter und Zugriffsebenen aufzurufen oder zu konfigurieren:

Access Context Manager-Administrator (roles/accesscontextmanager.policyAdmin)
Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
Access Context Manager-Leser (roles/accesscontextmanager.policyReader)

Zum Zuweisen einer dieser Rollen können Sie die Google Cloud Console verwenden oder einen der folgenden Befehle in der gcloud CLI ausführen. Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Google Cloud-Organisation.

Rolle "Manager-Administrator" zuweisen, um Lese- und Schreibzugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Rolle "Manager-Bearbeiter" zuweisen, um Lese- und Schreibzugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Rolle "Manager-Leser" zuweisen, um Lesezugriff zu gewähren

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"