בדף הזה מוסבר על התפקידים בניהול הזהויות והרשאות הגישה (IAM) שנדרשים כדי להגדיר את VPC Service Controls.
התפקידים הנדרשים
בטבלה הבאה מפורטות ההרשאות והתפקידים שנדרשים כדי ליצור ולפרט מדיניות גישה:
| פעולה | הרשאות ותפקידים נדרשים |
|---|---|
| יצירת מדיניות גישה ברמת הארגון או מדיניות בהיקף מוגבל |
הרשאה:
התפקיד שמספק את ההרשאה: תפקיד העריכה ב-Access Context Manager ( |
| הצגת רשימה של מדיניות גישה ברמת הארגון או של מדיניות בהיקף מוגבל |
הרשאה:
|
אפשר ליצור, לרשום או להקצות מדיניות עם היקף רק אם יש לכם את ההרשאות האלה ברמת הארגון. אחרי שיוצרים מדיניות עם היקף מוגבל, אפשר להעניק הרשאה לניהול המדיניות על ידי הוספת קישורי IAM למדיניות עם ההיקף המוגבל.
הרשאות שניתנות ברמת הארגון חלות על כל מדיניות הגישה, כולל מדיניות ברמת הארגון ומדיניות בהיקף מוגבל.
התפקידים המוגדרים מראש הבאים ב-IAM מספקים את ההרשאות הנדרשות להצגה או להגדרה של היקפי שירות ורמות גישה:
- אדמין של Access Context Manager (
roles/accesscontextmanager.policyAdmin) - עריכה ב-Access Context Manager (
roles/accesscontextmanager.policyEditor) - בעל הרשאת קריאה של Access Context Manager (
roles/accesscontextmanager.policyReader)
כדי להקצות אחד מהתפקידים האלה, משתמשים במסוף Google Cloud או מריצים אחת מהפקודות הבאות ב-CLI של gcloud. מחליפים את ORGANIZATION_ID במזהה הארגון Google Cloud.
הענקת הרשאת אדמין בחשבון הניהול כדי לאפשר גישת קריאה וכתיבה
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyAdmin"
הענקת הרשאת עריכה למנהל כדי לאפשר גישת קריאה וכתיבה
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyEditor"
הקצאת הרשאת קריאה בלבד (תפקיד 'מנהל מענקים' עם הרשאת קריאה)
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/accesscontextmanager.policyReader"