Papéis do IAM para administrar o VPC Service Controls

Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o VPC Service Controls.

Papéis exigidos

Os papéis do IAM listados a seguir fornecem as permissões necessárias para visualizar ou configurar perímetros de serviço e níveis de acesso usando a ferramenta de linha de comando gcloud:

  • Administrador do Access Context Manager (roles/accesscontextmanager.policyAdmin)
  • Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
  • Leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Além disso, para permitir que os usuários gerenciem o VPC Service Controls por meio do Console do Google Cloud, é necessário ter o papel Visualizador de organização do Resource Manager (roles/resourcemanager.organizationViewer).

Para conceder um desses papéis, use o Console do Cloud ou a ferramenta de linha de comando gcloud:

Administrador permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

Editor permite acesso para leitura e gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

Leitor permite acesso somente leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Visualizador de organização permite acesso ao VPC Service Controls pelo Console do Cloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"