Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die zum Konfigurieren von VPC Service Controls erforderlich sind.
Erforderliche Rollen
Die folgenden ausgewählten IAM-Rollen bieten die erforderlichen Berechtigungen, um Dienstperimeter und Zugriffsebenen mit dem gcloud-Befehlszeilentool aufzurufen und zu konfigurieren:
- Access Context Manager-Admin (roles/accesscontextmanager.policyAdmin)
- Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
- Access Context Manager-Leser (roles/accesscontextmanager.policyReader)
Damit Nutzer die Google Cloud Console verwenden können, um VPC Service Controls zu verwalten, benötigen sie außerdem die Resource Manager-Rolle „Organisationsbetrachter” (roles/resourcemanager.organizationViewer).
Zum Zuweisen einer dieser Rollen können Sie die Cloud Console oder das gcloud-Befehlszeilentool verwenden:
Administrator mit Lese- und Schreibzugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Bearbeiter mit Lese- und Schreibzugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Leser mit schreibgeschütztem Zugriff
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Organisationsbetrachter mit Zugriff auf VPC Service Controls über die Cloud Console
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"