Controle de acesso com o IAM

Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o VPC Service Controls.

Funções exigidas

A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:

Ação Permissões e papéis obrigatórios
Criar uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.create

Papel que fornece a permissão: papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.list

Papéis que concedem a permissão:
  • Papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Papel de leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Só será possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.

As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.

Os papéis predefinidos do IAM a seguir fornecem as permissões necessárias para visualizar ou configurar perímetros de serviço e níveis de acesso:

  • Administrador do Access Context Manager (roles/accesscontextmanager.policyAdmin)
  • Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Para conceder um desses papéis, use o console do Google Cloud ou execute um dos seguintes comandos na CLI gcloud. Substitua ORGANIZATION_ID pelo ID da organização do Google Cloud.

Conceder o papel de Administrador do Manager para permitir o acesso de leitura/gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Conceder o papel de Editor do Manager para permitir o acesso de leitura/gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Conceder o papel de Leitor do Manager para permitir acesso somente de leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"