Control de acceso con IAM

En esta página, se describen los roles de Identity and Access Management (IAM) necesarios para configurar los Controles del servicio de VPC.

Roles obligatorios

En la siguiente tabla, se enumeran los permisos y los roles que se necesitan para crear y enumerar políticas de acceso:

Solo puedes crear, enumerar o delegar políticas con permisos si cuentas con ellos a nivel de la organización. Después de crear una política con alcance, puedes otorgar permiso para administrarla con la adición de vinculaciones de IAM en dicha política.

Los permisos otorgados a nivel de la organización se aplican a todas las políticas de acceso, incluida la política a nivel de la organización y cualquier política con alcance.

Los siguientes roles predefinidos de IAM proporcionan los permisos necesarios para ver o configurar perímetros de servicio y niveles de acceso:

• Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
• Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
• Lector de Access Context Manager (roles/accesscontextmanager.policyReader)

Para otorgar uno de estos roles, usa la consola de Google Cloud o ejecuta uno de los siguientes comandos en gcloud CLI. Reemplaza ORGANIZATION_ID por el ID de tu organización Google Cloud.

Otorga el rol de administrador para permitir el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Otorga el rol de editor administrador para permitir el acceso de lectura y escritura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Otorga el rol de lector administrador para permitir el acceso de solo lectura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"