Assurez-vous que l'administrateur délégué auquel la règle d'accès limitée est déléguée dispose de l'autorisation cloudasset.assets.searchAllResources sur le dossier ou le projet auquel la règle d'accès limitée est associée.
Cette autorisation est requise par l'administrateur délégué pour effectuer des recherches dans toutes les ressources Google Cloud .
Créez une règle d'accès limitée et déléguez l'administration aux dossiers et aux projets de l'organisation.
Une fois que vous avez créé une règle d'accès limitée, vous ne pouvez plus en modifier le niveau d'accès.
Pour modifier le niveau d'accès d'une règle existante, supprimez-la et recréez-la avec le nouveau niveau d'accès.
Console
Dans le menu de navigation de la Google Cloud console, cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez la règle d'accès parente de la règle limitée. Par exemple, vous pouvez sélectionner la règle d'administration default policy.
Cliquez sur Gérer les règles.
Sur la page Gérer VPC Service Controls, cliquez sur Créer.
Sur la page Créer une règle d'accès, saisissez un nom pour la règle d'accès limitée dans le champ Nom de la règle d'accès.
Le nom de la règle d'accès limitée peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le nom de la règle d'accès limitée est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
Pour spécifier un niveau d'accès pour la règle d'accès, cliquez sur Niveaux d'accès.
Spécifiez un projet ou un dossier comme niveau d'accès de la règle d'accès.
Pour sélectionner un projet que vous souhaitez ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un projet.
Dans la boîte de dialogue Ajouter un projet, cochez la case correspondant à ce projet.
Cliquez sur OK. Le projet ajouté apparaît dans la section Niveaux d'accès.
Pour sélectionner un dossier à ajouter au niveau d'accès de la règle d'accès, procédez comme suit :
Dans le volet Niveaux d'accès, cliquez sur Ajouter un dossier.
Dans la boîte de dialogue Ajouter des dossiers, cochez la case correspondant à ce dossier.
Cliquez sur OK. Le dossier ajouté apparaît dans la section Niveaux d'accès.
Pour déléguer l'administration de la règle d'accès limitée, cliquez sur Comptes principaux.
Pour spécifier le compte principal et le rôle que vous souhaitez lier à la règle d'accès, procédez comme suit :
Dans le volet Comptes principaux, cliquez sur Ajouter des comptes principaux.
Dans la boîte de dialogue Ajouter des comptes principaux, sélectionnez un compte principal, tel qu'un nom d'utilisateur ou un compte de service.
Sélectionnez le rôle que vous souhaitez associer au compte principal, tel que les rôles d'éditeur ou de lecteur.
Cliquez sur Enregistrer. Le compte principal et le rôle ajoutés apparaissent dans la section Comptes principaux.
Sur la page Créer une règle d'accès, cliquez sur Créer une règle d'accès.
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.
Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
SCOPE correspond au dossier ou au projet pour lequel la règle est applicable. Vous ne pouvez spécifier qu'un seul dossier ou projet en tant que niveau d'accès. Le niveau d'accès doit exister au sein de l'organisation spécifiée. Si vous ne spécifiez pas de niveau d'accès, la règle s'applique à l'ensemble de l'organisation.
POLICY est l'ID de la règle ou l'identifiant complet de la règle.
PRINCIPAL est le compte principal pour lequel vous souhaitez ajouter la liaison. Spécifiez au format suivant : user|group|serviceAccount:email ou domain:domain.
ROLE est le nom du rôle à attribuer au compte principal. Le nom du rôle correspond au chemin complet d'un rôle prédéfini, tel que roles/accesscontextmanager.policyEditor, ou à l'ID d'un rôle personnalisé, tel que organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.
API
Pour créer une règle d'accès limitée, procédez comme suit :
ORGANIZATION_ID est l'identifiant numérique de votre organisation.
SCOPE correspond au dossier ou au projet pour lequel la règle est applicable.
POLICY_TITLE est le titre de votre règle, présenté dans un format lisible.
Le titre de la règle peut comporter 50 caractères au maximum, doit commencer par une lettre et ne peut contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) ou des traits de soulignement (_). Le titre de la règle est sensible à la casse et doit être unique dans la règle d'accès d'une organisation.
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corps de la réponse
Si la requête aboutit, le corps de la réponse à l'appel contient une ressource Operation qui fournit des détails sur l'opération POST.
Pour déléguer l'administration de la règle d'accès limitée, procédez comme suit :
Créez un corps de requête.
{"policy":"IAM_POLICY",}
Où :
IAM_POLICY est un ensemble de liaisons. Une liaison associe un ou plusieurs membres, ou comptes principaux, à un seul rôle. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google ou des domaines. Un rôle est une liste nommée d'autorisations. Chaque rôle peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Create a scoped access policy\n\nThis page describes how to create and delegate scoped access policies.\n\nBefore you begin\n----------------\n\n- Read about [scoped policies](/access-context-manager/docs/scoped-policies).\n\n- Read about [granting access to VPC Service Controls](/vpc-service-controls/docs/access-control).\n\n | **Note:** The access control for scoped policies is independent of the projects or folders in their scopes. Any Access Context Manager permissions granted on folders or projects have no effect on scoped policies as permissions can only be granted at the organization-level or on individual policies.\n- Make sure that the delegated administrator to whom the scoped access policy\n is delegated has the [`cloudasset.assets.searchAllResources`](/sdk/gcloud/reference/asset/search-all-resources)\n permission on the folder or the project to which the scoped policy is bound.\n This permission is required by the delegated administrator to search all Google Cloud resources.\n\n- Read about [configuring service perimeters](/vpc-service-controls/docs/service-perimeters).\n\nCreating a scoped access policy\n-------------------------------\n\nCreate a scoped access policy and delegate administration to folders and projects in the organization.\nAfter you create a scoped access policy, you cannot change the scope of the policy.\nTo change the scope of an existing policy, delete the policy, and recreate the policy with the new scope.\n**Warning:** If an organization-level access policy doesn't exist for your organization, scoped policies that you create at the folder or project-level don't work. \n\n### Console\n\n1. In the Google Cloud console navigation menu, click **Security** , and then\n click **VPC Service Controls**.\n\n [Go to VPC Service Controls](https://console.cloud.google.com/security/service-perimeter)\n2. If you are prompted, select your organization, folder, or project.\n\n3. On the **VPC Service Controls** page, select the access policy that is the\n parent of the scoped policy. For example, you can select the `default policy`\n organization policy.\n\n4. Click **Manage policies**.\n\n5. On the **Manage VPC Service Controls** page, click **Create**.\n\n6. On the **Create access policy** page, in the **Access policy name** box,\n type a name for the scoped access policy.\n\n The scoped access policy name can have a maximum length of 50 characters, must start\n with a letter, and can contain only ASCII Latin letters (a-z, A-Z),\n numbers (0-9), or underscores (`_`). The scoped access policy name is case sensitive\n and must be unique within an organization's access policy.\n7. To specify a scope for the access policy, click **Scopes**.\n\n8. Specify either a project or a folder as the scope of the access policy.\n\n - To select a project that you want to add to the scope of the access\n policy, do the following:\n\n 1. In the **Scopes** pane, click **Add project**.\n\n 2. In the **Add project** dialog, select that project's checkbox.\n\n 3. Click **Done** . The added project appears in the **Scopes** section.\n\n - To select a folder that you want to add to the scope of the access policy,\n do the following:\n\n 1. In the **Scopes** pane, click **Add folder**.\n\n 2. In the **Add folders** dialog, select that folder's checkbox.\n\n 3. Click **Done** . The added folder appears in the **Scopes** section.\n\n9. To delegate administration of the scoped access policy, click **Principals**.\n\n10. To specify the [principal](/iam/docs/overview#concepts_related_identity)\n and the role that you want to bind to the access policy, do the following:\n\n 1. In the **Principals** pane, click **Add principals**.\n\n 2. In the **Add principals** dialog, select a principal, such as a user\n name or service account.\n\n 3. Select the role that you want to associate with the principal, such\n as editor and read roles.\n\n 4. Click **Save** . The added principal and role appear in the **Principals** section.\n\n11. On the **Create access policy** page, click **Create access policy**.\n\n### gcloud\n\nTo create a scoped access policy, use the [`gcloud access-context-manager policies create`](/sdk/gcloud/reference/access-context-manager/policies/create)\ncommand. \n\n```bash\ngcloud access-context-manager policies create \\\n--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE\n```\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e is the numeric ID of your organization.\n\n- \u003cvar translate=\"no\"\u003ePOLICY_TITLE\u003c/var\u003e is a human-readable title for your policy.\n The policy title can have a maximum length of 50 characters, must start\n with a letter, and can contain only ASCII Latin letters (a-z, A-Z),\n numbers (0-9), or underscores (`_`). The policy title is case sensitive\n and must be unique within an organization's access policy.\n\n- \u003cvar translate=\"no\"\u003eSCOPE\u003c/var\u003e is the folder or project on which this policy is applicable. You\n can specify only one folder or project as the scope, and the scope must exist\n within the specified organization. If you don't specify a scope, the policy\n applies to the entire organization.\n\nThe following output appears (where \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e\nis a unique [numeric identifier for the policy](https://cloud.google.com/access-context-manager/docs/manage-access-policy#get_the_name_of_an_access_policy)\nassigned by Google Cloud): \n\n```\nCreate request issued\nWaiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.\nCreated.\n```\n\nTo delegate administration by binding a principal and role with a scoped access policy, use the [`add-iam-policy-binding`](/sdk/gcloud/reference/access-context-manager/policies/add-iam-policy-binding)\ncommand. \n\n```bash\ngcloud access-context-manager policies add-iam-policy-binding \\\n[POLICY] --member=PRINCIPAL --role=ROLE\n```\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003ePOLICY\u003c/var\u003e is ID of the policy or fully qualified identifier for the policy.\n\n- \u003cvar translate=\"no\"\u003ePRINCIPAL\u003c/var\u003e is the principal to add the binding for. Specify in the\n following format: `user|group|serviceAccount:email` or `domain:domain`.\n\n- \u003cvar translate=\"no\"\u003eROLE\u003c/var\u003e is the role name to assign to the principal. The role name\n is the complete path of a predefined role, such as `roles/accesscontextmanager.policyEditor`,\n or the role ID for a custom role, such as\n `organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor`.\n\n### API\n\nTo create a scoped access policy, do the following:\n\n1. Create a request body.\n\n ```json\n {\n \"parent\": \"\u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e\",\n \"scope\": \"\u003cvar translate=\"no\"\u003eSCOPE\u003c/var\u003e\"\n \"title\": \"\u003cvar translate=\"no\"\u003ePOLICY_TITLE\u003c/var\u003e\"\n }\n ```\n\n Where:\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e is the numeric ID of your organization.\n\n - \u003cvar translate=\"no\"\u003eSCOPE\u003c/var\u003e is the folder or project on which this policy is applicable.\n\n - \u003cvar translate=\"no\"\u003ePOLICY_TITLE\u003c/var\u003e is a human-readable title for your policy.\n The policy title can have a maximum length of 50 characters, must start\n with a letter, and can contain only ASCII Latin letters (a-z, A-Z),\n numbers (0-9), or underscores (`_`). The policy title is case sensitive\n and must be unique within an organization's access policy.\n\n2. Create the access policy by\n calling [`accessPolicies.create`](/access-context-manager/docs/reference/rest/v1/accessPolicies/create).\n\n ```\n POST https://accesscontextmanager.googleapis.com/v1/accessPolicies\n ```\n\n#### Response body\n\nIf successful, the response body for the call contains an\n[`Operation`](/access-context-manager/docs/reference/rest/Shared.Types/Operation) resource that provides details about the\n`POST` operation.\n\nTo delegate administration of the scoped access policy, do the following:\n\n1. Create a request body.\n\n ```json\n {\n \"policy\": \"\u003cvar translate=\"no\"\u003eIAM_POLICY\u003c/var\u003e\",\n }\n ```\n\n Where:\n - \u003cvar translate=\"no\"\u003eIAM_POLICY\u003c/var\u003e is a collection of bindings. A binding binds one or more members, or principals, to a single role. Principals can be user accounts, service accounts, Google groups, and domains. A role is a named list of permissions; each role can be an IAM predefined role or a user-created custom role.\n2. Delegate the access policy by\n calling [`accessPolicies.setIamPolicy`](/access-context-manager/docs/reference/rest/v1/accessPolicies/setIamPolicy).\n\n ```\n POST https://accesscontextmanager.googleapis.com/v1/accessPolicies\n ```\n\n#### Response body\n\nIf successful, the response body contains an instance of [`policy`](/access-context-manager/docs/reference/rest/Shared.Types/Policy).\n\nWhat's next\n-----------\n\n- Learn how to [manage existing](/vpc-service-controls/docs/manage-service-perimeters) service perimeters."]]
