Rôles IAM pour l'administration de VPC Service Controls

Cette page décrit les rôles IAM (Identity and Access Management) requis pour configurer VPC Service Controls.

Rôles requis

Les rôles IAM organisés suivants fournissent les autorisations nécessaires pour afficher ou configurer les périmètres de service et les niveaux d'accès à l'aide de l'outil de ligne de commande gcloud :

  • Administrateur Access Context Manager (roles/accesscontextmanager.policyAdmin)
  • Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Lecteur Access Context Manager (roles/accesscontextmanager.policyReader)

En outre, pour permettre à vos utilisateurs de gérer VPC Service Controls à l'aide de Google Cloud Console, vous devez leur accorder le rôle Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).

Pour accorder l'un de ces rôles, utilisez Cloud Console ou l'outil de ligne de commande gcloud :

Le rôle Administrateur autorise un accès en lecture/écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Le rôle Éditeur autorise un accès en lecture-écriture

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Le rôle Lecteur autorise un accès en lecture seule

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de Cloud Console

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"