使用 IAM 控管存取權

本頁面說明設定 VPC Service Controls 時須具備的 Identity and Access Management (IAM) 角色。

必要的角色

下表列出建立及列出存取權政策所需的權限和角色：

動作所需權限和角色

建立機構層級存取政策或範圍政策

動作	所需權限和角色
建立機構層級存取政策或範圍政策	權限：`accesscontextmanager.policies.create` 提供權限的角色：Access Context Manager 編輯者角色 (`roles/accesscontextmanager.policyEditor`)
列出機構層級存取政策或範圍政策	權限：`accesscontextmanager.policies.list` 提供權限的角色： Access Context Manager 編輯者角色 (`roles/accesscontextmanager.policyEditor`) Access Context Manager 讀取者角色 (`roles/accesscontextmanager.policyReader`)

權限：accesscontextmanager.policies.create

提供權限的角色：Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)

列出機構層級存取政策或範圍政策

權限：accesscontextmanager.policies.list

提供權限的角色：

Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)
Access Context Manager 讀取者角色 (roles/accesscontextmanager.policyReader)

您必須具備機構層級的權限，才能建立、列出或委派範圍政策。建立範圍政策後，您可以在範圍政策中新增 IAM 繫結，授予管理政策的權限。

在機構層級授予的權限會套用至所有存取權政策，包括機構層級政策和任何範圍政策。

下列預先定義的 IAM 角色提供必要權限，可查看或設定服務範圍和存取層級：

Access Context Manager 管理員 (roles/accesscontextmanager.policyAdmin)
Access Context Manager 編輯者 (roles/accesscontextmanager.policyEditor)
Access Context Manager 讀取者 (roles/accesscontextmanager.policyReader)

如要授予上述角色，請使用主控台 Trusted Cloud ，或在 gcloud CLI 中執行下列其中一個指令。將 ORGANIZATION_ID 替換為您的 Trusted Cloud by S3NS機構 ID。

授予管理員角色，允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

授予「管理員編輯者」角色，允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

授予管理員讀取者角色，允許唯讀存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"