Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para
configurar o VPC Service Controls.
Funções exigidas
A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:
Ação
Permissões e papéis obrigatórios
Criar uma política de acesso no nível da organização ou políticas com escopo
Permissão: accesscontextmanager.policies.create
Papel que fornece a permissão: papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
Liste uma política de acesso no nível da organização ou políticas com escopo
Permissão: accesscontextmanager.policies.list
Papéis que concedem a permissão:
Papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
Papel de leitor do Access Context Manager (roles/accesscontextmanager.policyReader)
Só será possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.
As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.
Os papéis predefinidos do IAM a seguir fornecem as permissões
necessárias para visualizar ou configurar perímetros de serviço e níveis de acesso:
Administrador do Access Context Manager (roles/accesscontextmanager.policyAdmin)
Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
Leitor do Access Context Manager (roles/accesscontextmanager.policyReader)
Para conceder um desses papéis, use o console Google Cloud ou execute
um dos seguintes comandos na CLI gcloud. Substitua
ORGANIZATION_ID pelo ID da sua
Google Cloudorganização.
Conceder o papel de Administrador do Manager para permitir o acesso de leitura/gravação
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[],[],null,["# Access control with IAM\n\nThis page describes the Identity and Access Management (IAM) roles required to\nconfigure VPC Service Controls.\n\nRequired roles\n--------------\n\nThe following table lists the permissions and roles required to create and list\naccess policies:\n\nYou can only create, list, or delegate [scoped policies](/access-context-manager/docs/scoped-policies) if you have those permissions\nat the organization level. After you create a scoped policy, you can grant permission to\nmanage the policy by adding IAM bindings on the scoped policy.\n\nPermissions granted at the organization-level apply to all access policies, including\nthe organization-level policy and any scoped policies.\n| **Note:** Any Access Context Manager permissions granted on folders or projects have no effect on scoped policies as permissions can only be granted at the organization-level or on individual policies. The access control for scoped policies is independent of the projects or folders in their scopes.\n\nThe following predefined IAM roles provide the necessary\npermissions to view or configure service perimeters and access levels:\n\n- Access Context Manager Admin (`roles/accesscontextmanager.policyAdmin`)\n- Access Context Manager Editor (`roles/accesscontextmanager.policyEditor`)\n- Access Context Manager Reader (`roles/accesscontextmanager.policyReader`)\n\nTo grant one of these roles, use [the Google Cloud console](/iam/docs/granting-changing-revoking-access) or run\none of the following commands in the gcloud CLI. Replace\n\u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e with the ID of your Google Cloud\norganization.\n\n### Grant Manager Admin role to allow read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyAdmin\"\n```\n\n### Grant Manager Editor role to allow read-write access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyEditor\"\n```\n\n### Grant Manager Reader role to allow read-only access\n\n```bash\ngcloud organizations add-iam-policy-binding ORGANIZATION_ID \\\n --member=\"user:example@customer.org\" \\\n --role=\"roles/accesscontextmanager.policyReader\"\n```"]]
