Cette page décrit les rôles IAM (Identity and Access Management) requis pour configurer VPC Service Controls.
Rôles requis
Les rôles IAM organisés suivants fournissent les autorisations nécessaires pour afficher ou configurer les périmètres de service et les niveaux d'accès à l'aide de l'outil de ligne de commande gcloud :
- Administrateur Access Context Manager (roles/accesscontextmanager.policyAdmin)
- Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)
- Lecteur Access Context Manager (roles/accesscontextmanager.policyReader)
En outre, pour permettre à vos utilisateurs de gérer VPC Service Controls à l'aide de Google Cloud Console, vous devez leur accorder le rôle Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer).
Pour accorder l'un de ces rôles, utilisez Cloud Console ou l'outil de ligne de commande gcloud :
Le rôle Administrateur autorise un accès en lecture/écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Le rôle Éditeur autorise un accès en lecture-écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Le rôle Lecteur autorise un accès en lecture seule
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Le rôle Lecteur d'organisation permet d'accéder à VPC Service Controls à l'aide de Cloud Console
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"