Cloud IAM-Rollen für die Verwaltung von VPC Service Controls

Auf dieser Seite werden die Cloud Identity and Access Management-Rollen (Cloud IAM) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.

Erforderliche Rollen

Die folgenden ausgewählten Cloud IAM-Rollen bieten die erforderlichen Berechtigungen zum Anzeigen oder Konfigurieren von Dienstperimetern und Zugriffsebenen mit dem Befehlszeilentool gcloud:

  • Access Context Manager-Admin (roles/accesscontextmanager.policyAdmin)
  • Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
  • Access Context Manager-Leser (roles/accesscontextmanager.policyReader)

Damit Ihre Nutzer die VPC Service Controls mithilfe der Google Cloud Console verwalten können, ist außerdem die Rolle "Resource Manager Organization Viewer" (roles/resourcemanager.organizationViewer) erforderlich.

Wenn Sie eine dieser Rollen zuweisen möchten, verwenden Sie die Cloud Console oder verwenden Sie das Befehlszeilentool gcloud:

Administrator mit Lese- und Schreibzugriff

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyAdmin"
    

Bearbeiter mit Lese- und Schreibzugriff

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyEditor"
    

Leser mit schreibgeschütztem Zugriff

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyReader"
    

Der Organization Viewer ermöglicht den Zugriff auf VPC Service Controls über die Cloud Console

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/resourcemanager.organizationViewer"