En esta página, se describen las funciones de administración de identidades y accesos (IAM) necesarias para configurarse en Access Context Manager.
Funciones requeridas
En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:
| Acción | Funciones y permisos obligatorios |
|---|---|
| Crea una política de acceso a nivel de la organización o políticas con alcance | Permiso:
Rol que proporciona el permiso: rol Editor de Access Context Manager
( |
| Enumera una política de acceso a nivel de la organización o políticas con alcance | Permiso:
Roles que proporcionan el permiso: rol Editor de Access Context Manager
( Rol de lector de Access Context Manager
( |
Solo puedes crear, enumerar o delegar políticas con alcance si tienes esos permisos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrar la política si agregas vinculaciones de IAM en la política con alcance.
Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.
Los siguientes roles seleccionados de IAM otorgan los permisos necesarios
para ver o configurar niveles de acceso, o bien otorgar permisos a administradores delegados
sobre políticas con alcance mediante la herramienta de línea de comandos de gcloud:
- Administrador de Access Context Manager:
roles/accesscontextmanager.policyAdmin - Editor de Access Context Manager:
roles/accesscontextmanager.policyEditor - Lector de Access Context Manager:
roles/accesscontextmanager.policyReader
Además, para permitir que tus usuarios administren Access Context Manager
La consola de Google Cloud, el visualizador de organización de Resource Manager
(roles/resourcemanager.organizationViewer) es obligatorio.
Para otorgar uno de estos roles, usa la consola de Google Cloud o
Usa la herramienta de línea de comandos de gcloud:
El administrador permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
El editor permite el acceso de lectura y escritura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
El visualizador permite el acceso de solo lectura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
El visualizador de la organización permite el acceso a los Controles del servicio de VPC a través de la consola de Google Cloud
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"