用于管理 VPC Service Controls 的 Cloud IAM 角色

本页介绍配置 VPC Service Controls 所需的 Cloud Identity and Access Management (Cloud IAM) 角色。

所需的角色

以下精选 Cloud IAM 角色提供了使用 gcloud 命令行工具查看或配置服务边界和访问权限级别所需的权限:

  • Access Context Manager Admin (roles/accesscontextmanager.policyAdmin)
  • Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
  • Access Context Manager Reader (roles/accesscontextmanager.policyReader)

此外,要让您的用户使用 Google Cloud Console 管理 VPC Service Controls,必须具备 Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer) 角色。

要授予其中一个角色,请使用 Cloud Console 或使用 gcloud 命令行工具:

Admin 提供读写访问权限

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyAdmin"
    

Editor 提供读写访问权限

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyEditor"
    

Reader 提供只读访问权限

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/accesscontextmanager.policyReader"
    

Organization Viewer 允许使用 Cloud Console 访问 VPC Service Controls

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member="user:example@customer.org" \
      --role="roles/resourcemanager.organizationViewer"