Control de acceso con IAM

En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurar los Controles del servicio de VPC.

Funciones obligatorias

En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:

Acción Funciones y permisos obligatorios
Crea una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.create

Rol que proporciona el permiso: Rol de Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)

Enumera una política de acceso a nivel de la organización o políticas con alcance

Permiso: accesscontextmanager.policies.list

Roles que proporcionan el permiso:
  • Rol Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Rol Lector de Access Context Manager (roles/accesscontextmanager.policyReader)

Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.

Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.

Las siguientes funciones predefinidas de IAM proporcionan los permisos necesarios para ver o configurar perímetros de servicio y niveles de acceso:

  • Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
  • Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Lector de Access Context Manager (roles/accesscontextmanager.policyReader)

Para otorgar uno de estos roles, usa la consola de Google Cloud o ejecuta uno de los siguientes comandos en la CLI de gcloud. Reemplaza ORGANIZATION_ID por el ID de tu organización de Google Cloud.

Otorga la función de administrador de administrador para permitir el acceso de lectura/escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Otorga la función de editor de administrador para permitir el acceso de lectura/escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Otorga la función de lector de Manager para permitir el acceso de solo lectura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"