En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurar los Controles del servicio de VPC.
Funciones requeridas
En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:
Acción | Funciones y permisos obligatorios |
---|---|
Crea una política de acceso a nivel de la organización o políticas con alcance | Permiso:
Rol que proporciona el permiso: rol de editor de Access Context Manager ( |
Enumera una política de acceso a nivel de la organización o políticas con alcance | Permiso:
|
Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.
Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.
Las siguientes funciones predefinidas de IAM proporcionan los permisos necesarios para ver o configurar perímetros de servicio y niveles de acceso:
-
Administrador de Access Context Manager (
roles/accesscontextmanager.policyAdmin
) - Editor de Access Context Manager (
roles/accesscontextmanager.policyEditor
) - Lector de Access Context Manager (
roles/accesscontextmanager.policyReader
)
Para otorgar uno de estos roles, usa la consola de Google Cloud o ejecuta uno de los siguientes comandos en la CLI de gcloud. Reemplaza ORGANIZATION_ID
por el ID de tu organización de Google Cloud.
Otorga la función de administrador de administrador para permitir el acceso de lectura/escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Otorga la función de editor de administrador para permitir el acceso de lectura/escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Otorga la función de lector de Manager para permitir el acceso de solo lectura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"