このページでは、Access Context Manager の構成に必要な Identity and Access Management(IAM)のロールについて説明します。
必要なロール
次の表に、アクセス ポリシーの作成と一覧表示に必要な権限とロールを示します。
| アクション | 必要な権限と役割 |
|---|---|
| 組織レベルのアクセス ポリシーまたはスコープ ポリシーを作成する |
権限:
権限を提供するロール: Access Context Manager 編集者のロール( |
| 組織レベルのアクセス ポリシーまたはスコープ ポリシーを一覧表示する |
権限:
権限を提供するロール: Access Context Manager 編集者のロール( Access Context Manager 読み取りのロール( |
組織レベルでのこれらの権限がある場合は、スコープ ポリシーの作成、一覧表示、委任を行うことができます。スコープ ポリシーを作成したら、スコープ ポリシーに対する IAM バインディングを追加することで、ポリシーを管理する権限を付与できます。
組織レベルで付与された権限は、組織レベルのポリシーやスコープ ポリシーを含むすべてのアクセス ポリシーに適用されます。
次の厳選された IAM ロールは、アクセスレベルを表示または構成するために必要なアクセス許可を提供するか、gcloud コマンドライン ツールを使用してスコープ ポリシーの委任された管理者にアクセス許可を付与します。
- Access Context Manager 管理者:
roles/accesscontextmanager.policyAdmin - Access Context Manager 編集者:
roles/accesscontextmanager.policyEditor - Access Context Manager 読者:
roles/accesscontextmanager.policyReader
さらに、ユーザーが Google Cloud コンソールを使用して Access Context Manager を管理できるようにするには、Resource Manager 組織閲覧者(roles/resourcemanager.organizationViewer)のロールが必要です。
これらのロールのいずれかを付与するには、Google Cloud コンソールを使用するか gcloud コマンドライン ツールを使用します。
管理者に読み取り / 書き込みアクセスを許可する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:[email protected]" \ --role="roles/accesscontextmanager.policyAdmin"
編集者に読み取り / 書き込みアクセスを許可する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:[email protected]" \ --role="roles/accesscontextmanager.policyEditor"
閲覧者に読み取り専用アクセスを許可する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:[email protected]" \ --role="roles/accesscontextmanager.policyReader"
Google Cloud コンソールを使用して、組織閲覧者で VPC Service Controls へのアクセスを許可する
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:[email protected]" \ --role="roles/resourcemanager.organizationViewer"