Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, descrevemos os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessários para configurar o VPC Service Controls.

Funções exigidas

A tabela a seguir lista as permissões e os papéis necessários para criar e listar as políticas de acesso:

Ação Permissões e papéis obrigatórios

Criar uma política de acesso no nível da organização ou políticas com escopo

Ação	Permissões e papéis obrigatórios
Criar uma política de acesso no nível da organização ou políticas com escopo	Permissão: `accesscontextmanager.policies.create` Papel que fornece a permissão: papel de editor do Access Context Manager (`roles/accesscontextmanager.policyEditor`)
Liste uma política de acesso no nível da organização ou políticas com escopo	Permissão: `accesscontextmanager.policies.list` Papéis que concedem a permissão: Papel de editor do Access Context Manager (`roles/accesscontextmanager.policyEditor`) Papel de leitor do Access Context Manager (`roles/accesscontextmanager.policyReader`)

Permissão: accesscontextmanager.policies.create

Papel que fornece a permissão: papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso no nível da organização ou políticas com escopo

Permissão: accesscontextmanager.policies.list

Papéis que concedem a permissão:

Papel de editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
Papel de leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Só será possível criar, listar ou delegar políticas com escopo se você tiver essas permissões no nível da organização. Depois de criar uma política com escopo, é possível conceder permissão para gerenciar a política adicionando vinculações do IAM na política com escopo.

As permissões concedidas no nível da organização se aplicam a todas as políticas de acesso, incluindo a política no nível da organização e quaisquer políticas com escopo.

Os papéis predefinidos do IAM a seguir fornecem as permissões necessárias para visualizar ou configurar perímetros de serviço e níveis de acesso:

Administrador do Access Context Manager (roles/accesscontextmanager.policyAdmin)
Editor do Access Context Manager (roles/accesscontextmanager.policyEditor)
Leitor do Access Context Manager (roles/accesscontextmanager.policyReader)

Para conceder um desses papéis, use o console Cloud de Confiance ou execute um dos seguintes comandos na CLI gcloud. Substitua ORGANIZATION_ID pelo ID da sua Cloud de Confiance by S3NSorganização.

Conceder o papel de Administrador do Manager para permitir o acesso de leitura/gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Conceder o papel de Editor do Manager para permitir o acesso de leitura/gravação

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Conceder o papel de Leitor do Manager para permitir acesso somente de leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"