此页面由 Cloud Translation API 翻译。

创建访问权限政策

本页面介绍了如何为 Google Cloud 控制台创建组织级访问权限政策，为组织中的文件夹和项目设置组织和范围政策。

准备工作

确保您拥有正确的权限来使用 Access Context Manager。

创建组织级访问权限政策

对于组织而言，如果存在以下情况，您将无法创建组织级别的访问权限政策：该组织存在组织级访问权限政策。

控制台

当您创建访问权限级别时，系统会自动创建默认访问权限政策。无需执行其他手动步骤。

gcloud

如需创建组织级访问权限政策，请使用 create 命令。

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

其中：

ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。

您应该会看到如下所示的输出（其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符）：

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

接下来，设置默认政策。

API

如需创建组织级访问权限政策，请执行以下操作：

创建请求正文。
```
{
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}
```
其中：
- ORGANIZATION_ID 是您的组织的数字 ID。
- POLICY_TITLE 是直观易懂的政策标题。

通过调用 accessPolicies.create 创建访问政策。

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

响应正文

如果成功，调用的响应正文将包含一个 Operation 资源，用于提供与 POST 操作相关的详细信息。

创建范围限定的访问权限政策并委托该政策

只有 VPC Service Controls 支持创建范围化访问权限政策。您必须继续为 Google Cloud 服务（例如 Identity-Aware Proxy [IAP]）使用组织级政策。

控制台

在 Google Cloud 控制台导航菜单中，点击安全，然后点击 VPC Service Controls。

转到 VPC Service Controls
如果出现提示，请选择您的组织、文件夹或项目。
在 VPC Service Controls 页面上，选择作为范围限定政策父级的访问权限政策。例如，您可以选择 default policy 组织政策。
点击管��政策。
在管理 VPC Service Controls 页面上，点击创建。
在创建访问权限政策页面的访问权限政策名称框中，为范围限定的访问权限政策输入名称。

范围限定的访问政策名称的最大长度为 50 个字符，必须以字母开头，并且只能包含 ASCII 拉丁字母（a-z、A-Z）、数字 (0-9) 或下划线 (_)。范围限定的访问权限政策名称区分大小写，并且在组织的访问权限政策中必须是唯一的。
要为访问权限政策指定范围，请点击范围。
将项目或文件夹指定为访问权限政策的范围。
- 如需选择要添加到访问权限政策范围内的项目，请执行以下操作：
  1. 在范围窗格中，点击添加项目。
  2. 在添加项目对话框中，选中相应项目的复选框。
  3. 点击完成。添加的项目将显示在范围部分中。
- 如需选择要添加到访问权限政策范围内的文件夹，请执行以下操作：
  1. 在范围窗格中，点击添加文件夹。
  2. 在添加文件夹对话框中，选中相应文件夹的复选框。
  3. 点击完成。添加的文件夹将显示在范围部分中。
如需委派范围限定访问权限政策的管理，请点击主账号。
如需指定要绑定到访问权限政策的主账号和角色，请执行以下操作：
1. 在主账号窗格中，点击添加主账号。
2. 在添加主账号对话框中，选择主账号，例如用户名或服务账号。
3. 选择要与主账号关联的角色，例如编辑者和读取角色。
4. 点击保存。添加的主账号��角色会显示在主账号部分中。
在创建访问权限政策页面上，点击创建访问权限政策。

gcloud

如需创建范围限定的访问权限政策，请使用 gcloud access-context-manager policies create 命令。

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

其中：

ORGANIZATION_ID 是您的组织的数字 ID。
POLICY_TITLE 是直观易懂的政策标题。政策标题最多可以包含 50 个字符，必须以字母开头，并且只能包含 ASCII 拉丁字母（a-z、A-Z）、数字 (0-9) 或下划线 (_)。政策标题区分大小写，并且在组织的访问权限政策中必须是唯一的。
SCOPE 是此政策适用的文件夹或项目。您只能指定一个文件夹或项目作为范围，并且该范围必须存在于指定的组织中。如果您未指定范围，则政策将应用于整个组织。

系统会显示以下输出（其中 POLICY_NAME 是 Google Cloud 分配的政策的唯一数字标识符）：

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

要通过将主账号和角色绑定到范围限定的访问权限政策来委派管理，请使用 add-iam-policy-binding 命令。

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

其中：

POLICY 是政策的 ID 或政策的完全限定标识符。
PRINCIPAL 是要添加绑定的主账号。请按以下格式指定：user|group|serviceAccount:email 或 domain:domain。
ROLE 是要分配给主账号的角色名称。角色名称是预定义角色的完整路径（例如 roles/accesscontextmanager.policyReader），或自定义角色的角色 ID（例如 organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader）。

API

要创建范围限定的访问权限政策，请执行以下操作：

创建请求正文。
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
其中：
- ORGANIZATION_ID 是您的组织的数字 ID。
- SCOPE 是此政策适用的文件夹或项目。
- POLICY_TITLE 是直观易懂的政策标题。政策标题最多可以包含 50 个字符，必须以字母开头，并且只能包含 ASCII 拉丁字母（a-z、A-Z）、数字 (0-9) 或下划线 (_)。政策标题区分大小写，并且在组织的访问权限政策中必须是唯一的。

通过调用 accessPolicies.create 创建访问政策。

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

响应正文

如果成功，调用的响应正文将包含一个 Operation 资源，用于提供与 POST 操作相关的详细信息。

如需委派范围限定访问权限政策的管理，请执行以下操作：

创建请求正文。
```
{
 "policy": "IAM_POLICY",
}
```
其中：
- IAM_POLICY 是绑定的集合。绑定操作会将一个或多个成员或主账号绑定到单个角色。主账号可以是用户账号、服务账号、Google 群组和网域。角色是一组指定的权限；每个角色可以是 IAM 预定义角色或用户创建的自定义角色。

通过调用 accessPolicies.setIamPolicy 创建访问政策。

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

响应正文

如果成功，则响应正文包含一个 policy 实例。

后续步骤

管理访问权限政策