Esta página foi traduzida pela API Cloud Translation.

Controlo de acesso com a IAM

Esta página descreve as funções de gestão de identidade e de acesso (IAM) necessárias para configurar os VPC Service Controls.

Funções necessárias

A tabela seguinte lista as autorizações e as funções necessárias para criar e listar políticas de acesso:

Ação Autorizações e funções necessárias

Crie uma política de acesso ao nível da organização ou políticas com âmbito

Ação	Autorizações e funções necessárias
Crie uma política de acesso ao nível da organização ou políticas com âmbito	Autorização: `accesscontextmanager.policies.create` Função que concede a autorização: função Editor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyEditor`)
Liste uma política de acesso ao nível da organização ou políticas com âmbito	Autorização: `accesscontextmanager.policies.list` Funções que concedem a autorização: Função de editor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyEditor`) Função de leitor do Gestor de acesso sensível ao contexto (`roles/accesscontextmanager.policyReader`)

Autorização: accesscontextmanager.policies.create

Função que concede a autorização: função Editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor)

Liste uma política de acesso ao nível da organização ou políticas com âmbito

Autorização: accesscontextmanager.policies.list

Funções que concedem a autorização:

Função de editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor)
Função de leitor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyReader)

Só pode criar, listar ou delegar políticas com âmbito se tiver essas autorizações ao nível da organização. Depois de criar uma política com âmbito, pode conceder autorização para gerir a política adicionando associações da IAM à política com âmbito.

As autorizações concedidas ao nível da organização aplicam-se a todas as políticas de acesso, incluindo a política ao nível da organização e quaisquer políticas com âmbito.

As seguintes funções predefinidas da IAM fornecem as autorizações necessárias para ver ou configurar perímetros de serviço e níveis de acesso:

Administrador do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyAdmin)
Editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor)
Leitor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyReader)

Para conceder uma destas funções, use a Google Cloud consola ou execute um dos seguintes comandos na CLI gcloud. Substitua ORGANIZATION_ID pelo ID da sua Google Cloud organização.

Conceda a função de administrador gestor para permitir o acesso de leitura/escrita

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

Conceda a função de editor de gestor para permitir o acesso de leitura/escrita

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

Conceda a função de leitor do gestor para permitir o acesso só de leitura

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"