Controllo dell'accesso con IAM

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti i ruoli di Identity and Access Management (IAM) richiesti per configurare i Controlli di servizio VPC.

Ruoli obbligatori

La tabella riportata di seguito elenca le autorizzazioni e i ruoli necessari per creare ed elencare i criteri di accesso:

Azione Autorizzazioni e ruoli richiesti
Crea un criterio di accesso a livello di organizzazione o un criterio con ambito

Autorizzazione: accesscontextmanager.policies.create

Ruolo che fornisce l'autorizzazione: ruolo Editor dei Controlli di servizio VPC (roles/accesscontextmanager.policyEditor)

Elenca un criterio di accesso a livello di organizzazione o i criteri con ambito

Autorizzazione: accesscontextmanager.policies.list

Ruoli che forniscono l'autorizzazione:
  • Ruolo Editor Controlli di servizio VPC (roles/accesscontextmanager.policyEditor)
  • Ruolo lettore lettore di Controlli di servizio VPC (roles/accesscontextmanager.policyReader)

Puoi creare, elencare o delegare criteri con ambito solo se disponi di queste autorizzazioni a livello di organizzazione. Dopo aver creato un criterio con ambito, puoi concedere l'autorizzazione per gestire il criterio aggiungendo associazioni IAM sul criterio con ambito.

Le autorizzazioni concesse a livello di organizzazione si applicano a tutti i criteri di accesso, inclusi i criteri a livello di organizzazione e qualsiasi criterio con ambito.

I seguenti ruoli IAM predefiniti forniscono le autorizzazioni necessarie per visualizzare o configurare i perimetri di servizio e i livelli di accesso:

  • Amministratore Gestore contesto accesso (roles/accesscontextmanager.policyAdmin)
  • Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
  • Lettore Gestore contesto accesso (roles/accesscontextmanager.policyReader)

Per concedere uno di questi ruoli, utilizza la console Google Cloud o esegui uno dei seguenti comandi nell'interfaccia a riga di comando gcloud. Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione Google Cloud.

Concedi il ruolo Amministratore Manager per consentire l'accesso in lettura/scrittura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Concedi il ruolo Editor di Manager per consentire l'accesso in lettura/scrittura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Concedi il ruolo Lettore amministratore per consentire l'accesso di sola lettura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"