בקרת גישה באמצעות IAM

בדף הזה מוסבר אילו תפקידים בניהול הזהויות והרשאות הגישה (IAM) נדרשים כדי להגדיר את Access Context Manager.

התפקידים הנדרשים

Cloud de Confiance

בטבלה הבאה מפורטות ההרשאות והתפקידים שנדרשים כדי ליצור ולפרט מדיניות גישה:

פעולה הרשאות ותפקידים נדרשים
יצירת מדיניות גישה ברמת הארגון או מדיניות בהיקף מוגבל

הרשאה: accesscontextmanager.policies.create

התפקיד שמספק את ההרשאה: תפקיד העריכה ב-Access Context Manager ‏(roles/accesscontextmanager.policyEditor)

הצגת מדיניות גישה ברמת הארגון או מדיניות בהיקף מוגבל

הרשאה: accesscontextmanager.policies.list

תפקידים שמספקים את ההרשאה: תפקיד העריכה ב-Access Context Manager‏ (roles/accesscontextmanager.policyEditor)

תפקיד בעל הרשאת קריאה ב-Access Context Manager (roles/accesscontextmanager.policyReader)

אפשר ליצור מדיניות עם היקף, להציג רשימה שלה או להקצות אותה רק אם יש לכם את ההרשאות האלה ברמת הארגון. אחרי שיוצרים מדיניות עם היקף מוגבל, אפשר להעניק הרשאה לניהול המדיניות על ידי הוספת קישורי IAM למדיניות עם ההיקף המוגבל.

הרשאות שניתנות ברמת הארגון חלות על כל מדיניות הגישה, כולל מדיניות ברמת הארגון ומדיניות בהיקף מוגבל.

תפקידי ה-IAM המנוהלים הבאים מספקים את ההרשאות הנדרשות כדי להציג או להגדיר רמות גישה או להעניק הרשאות לאדמינים עם הרשאות מוגבלות בכללי מדיניות עם היקף מוגבל באמצעות כלי שורת הפקודה gcloud:

  • אדמין של Access Context Manager: roles/accesscontextmanager.policyAdmin
  • עריכה ב-Access Context Manager: roles/accesscontextmanager.policyEditor
  • בעל הרשאת קריאה של Access Context Manager: ‏ roles/accesscontextmanager.policyReader

בנוסף, כדי לאפשר למשתמשים לנהל את הכלי Access Context Manager באמצעותCloud de Confiance המסוף, נדרש התפקיד צפייה בארגון (roles/resourcemanager.organizationViewer) בכלי מנהל המשאבים.

כדי להעניק אחד מהתפקידים האלה, משתמשים במסוף Cloud de Confiance או בכלי gcloud של שורת הפקודה:

האדמין מאפשר גישת קריאה וכתיבה

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

הרשאת עריכה מאפשרת גישת קריאה וכתיבה

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

הרשאת קריאה מאפשרת גישה לקריאה בלבד

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

בעל הרשאת הצגה של הארגון יכול לגשת ל-VPC Service Controls באמצעות Cloud de Confiance המסוף

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

המאמרים הבאים