本页介绍配置 VPC Service Controls 所需的 Identity and Access Management (Cloud IAM) 角色。
所需的角色
以下精选 IAM 角色提供必要权限,以允许使用 gcloud 命令行工具查看或配置服务边界与访问权限级别:
- Access Context Manager Admin (roles/accesscontextmanager.policyAdmin)
- Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
- Access Context Manager Reader (roles/accesscontextmanager.policyReader)
此外,若要使用户使用 Google Cloud Console 管理 VPC Service Controls,则需要 Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer) 角色。
如需授予上述某一个角色,请使用 Cloud Console 或使用 gcloud 命令行工具:
Admin 提供读写访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Editor 提供读写访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Reader 提供只读访问权限
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Organization Viewer 允许使用 Cloud Console 访问 VPC Service Controls
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"