GCP IAM - политика наследования / приоритета - PullRequest
Новая
       9

GCP IAM - политика наследования / приоритета

0 голосов
/ 17 января 2019

Согласно документации , в которой написано

Дочерние политики не могут ограничивать доступ, предоставленный на более высоком уровне. уровень. Например, если вы предоставите роль редактора пользователю для проект и предоставить роль просмотра для того же пользователя для ребенка ресурс, то пользователь по-прежнему имеет грант редактора для ребенка ресурс.

Означает ли это также, что если я назначу пользователю ограничительный доступ на более высоком уровне, но назначу более разрешающий доступ на уровне ресурсов, то у этого пользователя будет более разрешительный доступ? Другими словами, более разрешительная политика переопределит ограничительную политику независимо от того, на каком уровне предоставляется более разрешительная политика?

Пример:

Предоставить пользователю роль обозревателя UserA для проекта, но назначить роль редактора на уровне ресурса. UserA будет иметь доступ на уровне редактора к ресурсу?

1 Ответ

0 голосов
/ 17 января 2019

Означает ли это, что если я назначу пользователю ограниченный доступ на более высоком уровне? уровень, но назначить более разрешающий доступ на уровне ресурсов, этот пользователь будет более разрешительный доступ?

Да.

Другими словами, более разрешительная политика переопределит ограничительную политика, независимо от того, на каком уровне предоставляется более разрешительная политика в

Не думайте, что это имеет преимущество. Думайте об этом как о предоставлении дополнительных привилегий.

Предоставьте роль пользователя UserA для проекта, но назначьте роль редактора в Уровень ресурса, UserA будет иметь доступ на уровне редактора к ресурсу?

Правильно, у UserA будет уровень редактора для ресурса.

Представьте себе иерархию: Организация / Папки / Проекты / Ресурсы. Если у вас есть разрешения на более высоком уровне, у вас есть по крайней мере те разрешения на более низком уровне. Это похоже на организацию компании. Если вы В.П. подразделения (проекта) вы еще В.П. для каждой группы (ресурса) в этом разделе. Противоположное также работает. Вы являетесь участником группы для организации (программа просмотра проектов), но вы являетесь руководителем одной группы (редактор вычислительных ресурсов) и просто являетесь программой просмотра проектов для других ресурсов.

...