Questa pagina descrive i ruoli IAM (Identity and Access Management) necessari per eseguire la configurazione di Access Context Manager.
Ruoli obbligatori
La tabella seguente elenca le autorizzazioni e i ruoli necessari per creare e elencare le norme di accesso:
| Azione | Autorizzazioni e ruoli obbligatori |
|---|---|
| Crea un criterio di accesso a livello di organizzazione o criteri basati su ambito |
Autorizzazione:
Ruolo che fornisce l'autorizzazione: ruolo Editor Gestore contesto accesso
( |
| Elenca un criterio di accesso a livello di organizzazione o criteri basati su ambito |
Autorizzazione:
Ruoli che forniscono l'autorizzazione: ruolo Editor Gestore contesto accesso
( Ruolo Lettore Gestore contesto accesso
( |
Puoi creare, elencare o delegare i criteri basati su ambito solo se disponi di queste autorizzazioni a livello di organizzazione. Dopo aver creato un criterio basato su ambito, puoi concedere l'autorizzazione per gestirlo aggiungendo associazioni IAM al criterio basato su ambito.
Le autorizzazioni concesse a livello di organizzazione si applicano a tutti i criteri di accesso, incluso il criterio a livello di organizzazione e eventuali criteri basati su ambito.
I seguenti ruoli IAM selezionati forniscono le autorizzazioni necessarie per visualizzare o configurare i livelli di accesso o concedere autorizzazioni agli amministratori delegati per i criteri basati su ambito utilizzando lo strumento a riga di comando gcloud:
- Access Context Manager Admin:
roles/accesscontextmanager.policyAdmin - Access Context Manager Editor:
roles/accesscontextmanager.policyEditor - Lettore Gestore contesto accesso:
roles/accesscontextmanager.policyReader
Inoltre, per consentire agli utenti di gestire Gestore contesto accesso utilizzando la
Google Cloud console, è necessario il ruolo visualizzatore dell'organizzazione Resource Manager
(roles/resourcemanager.organizationViewer).
Per concedere uno di questi ruoli, utilizza la Google Cloud console o
lo strumento a riga di comando gcloud:
L'amministratore consente l'accesso in lettura/scrittura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
L'editor consente l'accesso in lettura e scrittura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Il ruolo Lettore consente l'accesso di sola lettura
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
Il visualizzatore dell'organizzazione consente di accedere ai Controlli di servizio VPC utilizzando la Google Cloud console
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"