בדף הזה מוסבר אילו תפקידים בניהול הזהויות והרשאות הגישה (IAM) נדרשים כדי להגדיר את Access Context Manager.
התפקידים הנדרשים
Cloud de Confianceבטבלה הבאה מפורטות ההרשאות והתפקידים שנדרשים כדי ליצור ולפרט מדיניות גישה:
| פעולה | הרשאות ותפקידים נדרשים |
|---|---|
| יצירת מדיניות גישה ברמת הארגון או מדיניות בהיקף מוגבל |
הרשאה:
התפקיד שמספק את ההרשאה: תפקיד העריכה ב-Access Context Manager ( |
| הצגת מדיניות גישה ברמת הארגון או מדיניות בהיקף מוגבל |
הרשאה:
תפקידים שמספקים את ההרשאה: תפקיד העריכה ב-Access Context Manager ( תפקיד בעל הרשאת קריאה ב-Access Context Manager
( |
אפשר ליצור מדיניות עם היקף, להציג רשימה שלה או להקצות אותה רק אם יש לכם את ההרשאות האלה ברמת הארגון. אחרי שיוצרים מדיניות עם היקף מוגבל, אפשר להעניק הרשאה לניהול המדיניות על ידי הוספת קישורי IAM למדיניות עם ההיקף המוגבל.
הרשאות שניתנות ברמת הארגון חלות על כל מדיניות הגישה, כולל מדיניות ברמת הארגון ומדיניות בהיקף מוגבל.
תפקידי ה-IAM המנוהלים הבאים מספקים את ההרשאות הנדרשות כדי להציג או להגדיר רמות גישה או להעניק הרשאות לאדמינים עם הרשאות מוגבלות בכללי מדיניות עם היקף מוגבל באמצעות כלי שורת הפקודה gcloud:
- אדמין של Access Context Manager:
roles/accesscontextmanager.policyAdmin - עריכה ב-Access Context Manager:
roles/accesscontextmanager.policyEditor - בעל הרשאת קריאה של Access Context Manager:
roles/accesscontextmanager.policyReader
בנוסף, כדי לאפשר למשתמשים לנהל את הכלי Access Context Manager באמצעותCloud de Confiance המסוף, נדרש התפקיד צפייה בארגון (roles/resourcemanager.organizationViewer) בכלי מנהל המשאבים.
כדי להעניק אחד מהתפקידים האלה, משתמשים במסוף Cloud de Confiance או בכלי gcloud של שורת הפקודה:
האדמין מאפשר גישת קריאה וכתיבה
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
הרשאת עריכה מאפשרת גישת קריאה וכתיבה
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
הרשאת קריאה מאפשרת גישה לקריאה בלבד
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"
בעל הרשאת הצגה של הארגון יכול לגשת ל-VPC Service Controls באמצעות Cloud de Confiance המסוף
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/resourcemanager.organizationViewer"