使用 IAM 控管存取權

本頁面說明設定 VPC Service Controls 時需具備的 Identity and Access Management (IAM) 角色。

必要的角色

下表列出建立及列出存取權政策所需的權限和角色：

動作所需權限和角色

建立組織層級存取權政策或範圍政策

動作	所需權限和角色
建立組織層級存取權政策或範圍政策	權限：`accesscontextmanager.policies.create` 提供權限的角色：Access Context Manager 編輯者角色 (`roles/accesscontextmanager.policyEditor`)
列出組織層級存取權政策或範圍政策	權限：`accesscontextmanager.policies.list` 提供權限的角色： Access Context Manager 編輯者角色 (`roles/accesscontextmanager.policyEditor`) Access Context Manager 讀取者角色 (`roles/accesscontextmanager.policyReader`)

權限：accesscontextmanager.policies.create

提供權限的角色：Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)

列出組織層級存取權政策或範圍政策

權限：accesscontextmanager.policies.list

提供權限的角色：

Access Context Manager 編輯者角色 (roles/accesscontextmanager.policyEditor)
Access Context Manager 讀取者角色 (roles/accesscontextmanager.policyReader)

您必須在組織層級具備這些權限，才能建立、列出或委派範圍政策。建立範圍政策後，您可以在範圍政策中新增 IAM 繫結，授予管理政策的權限。

在組織層級授予的權限會套用至所有存取權政策，包括組織層級政策和任何範圍政策。

下列預先定義的 IAM 角色提供必要權限，讓您查看或設定 service perimeter 和存取層級：

Access Context Manager 管理員 (roles/accesscontextmanager.policyAdmin)
Access Context Manager 編輯者 (roles/accesscontextmanager.policyEditor)
Access Context Manager 讀取者 (roles/accesscontextmanager.policyReader)

如要授予上述角色，請使用 Google Cloud 控制台，或在 gcloud CLI 中執行下列其中一個指令。將 ORGANIZATION_ID 替換為您的 Google Cloud組織 ID。

授予 Manager 管理員角色，允許讀取/寫入權限

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

授予 Manager 編輯者角色，允許讀取/寫入權限

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

授予 Manager 讀取者角色，允許唯讀存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"