Cette page décrit les rôles de Cloud Identity and Access Management (Cloud IAM) requis pour configurer VPC Service Controls.
Rôles requis
Les rôles Cloud IAM sélectionnés ci-dessous fournissent les autorisations nécessaires pour afficher ou configurer les périmètres de service et les niveaux d'accès à l'aide de l'outil de ligne de commande gcloud :
- Administrateur Access Context Manager (roles/accesscontextmanager.policyAdmin)
- Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)
- Lecteur Access Context Manager (roles/accesscontextmanager.policyReader)
En outre, pour permettre à vos utilisateurs de gérer VPC Service Controls à l'aide de Google Cloud Console, vous devez leur accorder le rôle Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).
Pour accorder l'un de ces rôles, utilisez Cloud Console ou l'outil de ligne de commande gcloud :
Le rôle Administrateur autorise un accès en lecture-écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyAdmin"
Le rôle Éditeur autorise un accès en lecture-écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyEditor"
Le rôle Lecteur autorise un accès en lecture seule
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/accesscontextmanager.policyReader"
Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de Cloud Console.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="user:example@customer.org" \
--role="roles/resourcemanager.organizationViewer"