Cette page décrit les rôles IAM (Identity and Access Management) requis pour configurer VPC Service Controls.
Rôles requis
Le tableau suivant répertorie les autorisations et les rôles requis pour créer et répertorier des règles d'accès :
Action | Autorisations et rôles requis |
---|---|
Créer des règles limitées ou une règle d'accès au niveau de l'organisation | Autorisation :
Rôle fournissant l'autorisation: rôle Éditeur Access Context Manager ( |
Répertorier des règles limitées ou une règle d'accès au niveau de l'organisation | Autorisation :
|
Vous ne pouvez créer, répertorier ou déléguer des règles limitées que si vous disposez de ces autorisations au niveau de l'organisation. Après avoir créé une règle limitée, vous pouvez autoriser sa gestion en ajoutant des liaisons IAM à la règle limitée.
Les autorisations accordées au niveau de l'organisation s'appliquent à toutes les règles d'accès, y compris à la règle au niveau de l'organisation et à toutes les règles limitées.
Les rôles IAM prédéfinis suivants fournissent les autorisations nécessaires pour afficher ou configurer les périmètres de service et les niveaux d'accès :
- Administrateur Access Context Manager (
roles/accesscontextmanager.policyAdmin
) - Éditeur Access Context Manager (
roles/accesscontextmanager.policyEditor
) - Lecteur Access Context Manager (
roles/accesscontextmanager.policyReader
)
Pour accorder l'un de ces rôles, utilisez la console Google Cloud ou exécutez l'une des commandes suivantes dans gcloud CLI. Remplacez ORGANIZATION_ID
par l'ID de votre organisation Google Cloud.
Attribuer le rôle "Administrateur Manager" pour autoriser l'accès en lecture/écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
Attribuer le rôle "Éditeur Manager" pour autoriser l'accès en lecture/écriture
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
Attribuer le rôle "Lecteur Manager" pour autoriser l'accès en lecture seule
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"