使用 IAM 控管存取權

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

本頁面說明設定 Access Context Manager 時須具備的 Identity and Access Management (IAM) 角色。

必要的角色

下表列出建立及列出存取權政策所需的權限和角色：

您必須在機構層級具備這些權限，才能建立、列出或委派受限政策。建立範圍限定政策後，您可以在範圍限定政策上新增身分與存取權管理繫結，藉此授予管理政策的權限。

在機構層級授予的權限會套用至所有存取權政策，包括機構層級政策和任何範圍政策。

以下列出的 IAM 角色提供必要權限，讓您使用 gcloud 指令列工具查看或設定存取層級，或授予委派管理員在受限政策上的權限：

• Access Context Manager 管理員：roles/accesscontextmanager.policyAdmin
• Access Context Manager 編輯者：roles/accesscontextmanager.policyEditor
• Access Context Manager 讀取者：roles/accesscontextmanager.policyReader

此外，如要讓使用者透過Google Cloud 主控台管理 Access Context Manager，則必須具備 Resource Manager 機構檢視者 (roles/resourcemanager.organizationViewer) 角色。

如要授予上述角色，請使用 Google Cloud 主控台或 gcloud 指令列工具：

管理員允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/accesscontextmanager.policyAdmin"

編輯者允許讀寫存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/accesscontextmanager.policyEditor"

讀取者允許唯讀存取權

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/accesscontextmanager.policyReader"

機構檢視者允許透過 Google Cloud 主控台存取 VPC Service Controls

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/resourcemanager.organizationViewer"

後續步驟

• Access Context Manager 總覽
• 建立存取權政策