IAM-Rollen für die Verwaltung von VPC Service Controls

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.

Erforderliche Rollen

Die folgenden ausgewählten IAM-Rollen bieten die erforderlichen Berechtigungen, um Dienstperimeter und Zugriffsebenen mit dem gcloud-Befehlszeilentool aufzurufen und zu konfigurieren:

  • Access Context Manager-Admin (roles/accesscontextmanager.policyAdmin)
  • Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
  • Access Context Manager-Leser (roles/accesscontextmanager.policyReader)

Damit Nutzer die Google Cloud Console verwenden können, um VPC Service Controls zu verwalten, benötigen sie außerdem die Resource Manager-Rolle "Organisationsbetrachter" (roles/resourcemanager.organizationViewer).

Zum Zuweisen einer dieser Rollen können Sie die Cloud Console oder das gcloud-Befehlszeilentool verwenden:

Administrator mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Bearbeiter mit Lese- und Schreibzugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leser mit schreibgeschütztem Zugriff

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Organisationsbetrachter mit Zugriff auf VPC Service Controls über die Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"