使用 IAM 控管存取權

本頁面說明設定 Access Context Manager 時須具備的 Identity and Access Management (IAM) 角色。

必要的角色

下表列出建立及列出存取權政策所需的權限和角色:

動作 所需權限和角色
建立機構層級存取權政策或範圍政策

權限:accesscontextmanager.policies.create

提供權限的角色:Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)
列出機構層級存取政策或範圍限定政策

權限:accesscontextmanager.policies.list

提供此權限的角色:Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)

Access Context Manager 讀取者角色 (roles/accesscontextmanager.policyReader)

您必須在機構層級具備這些權限,才能建立、列出或委派受限政策。建立範圍限定政策後,您可以在範圍限定政策上新增身分與存取權管理繫結,藉此授予管理政策的權限。

在機構層級授予的權限會套用至所有存取權政策,包括機構層級政策和任何範圍政策。

以下列出的 IAM 角色提供必要權限,讓您使用 gcloud 指令列工具查看或設定存取層級,或授予委派管理員在受限政策上的權限:

  • Access Context Manager 管理員:roles/accesscontextmanager.policyAdmin
  • Access Context Manager 編輯者:roles/accesscontextmanager.policyEditor
  • Access Context Manager 讀取者:roles/accesscontextmanager.policyReader

此外,如要讓使用者透過Google Cloud 主控台管理 Access Context Manager,則必須具備 Resource Manager 機構檢視者 (roles/resourcemanager.organizationViewer) 角色。

如要授予上述角色,請使用 Google Cloud 主控台gcloud 指令列工具:

管理員允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

編輯者允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

讀取者允許唯讀存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

機構檢視者允許透過 Google Cloud 主控台存取 VPC Service Controls

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

後續步驟