IAM & Admin (Google Cloud Platform)

Question

Я работаю на облачной платформе Google и столкнулся с проблемой ниже. (Я также хотел бы получить информацию от платформ aws и azure.)

• Создан новый пользователь в консоли администрирования gsuite без назначенных ролей в gsuite admin.
• Добавил этого пользователя в консоль gcp IAM и назначил 2 роли: вычислить администратора безопасности и вычислить сетевого администратора на уровне организации, что означает, что эти разрешения наследуются от уровня организации.

Если мой пользователь сможет создаватьпроекты, в которых вычисляются только защищенные административные и сетевые административные роли?

Answer 1

Нет. Если назначены только эти две роли, ваш пользователь не сможет создавать проекты в GCP. Вам нужно будет назначить роль с разрешением resourcemanager.projects.create. Правильная роль, назначаемая в соответствии с Принципом наименьших привилегий , будет roles/resourcemanager.projectCreator, также известной как роль «Создатель проекта».

, что означает, что эти разрешения унаследованы от организацииуровень.

Это не совсем то, что это значит. В GCP ресурсы, которые на ниже Организации (например, папки, проекты) будут наследовать разрешения, определенные на уровне организации, а ресурсы более низкого уровня не могут дополнительно ограничивать разрешения, уже предоставленные на более высоких уровнях.

См. Также:

• Список предопределенных ролей в GCP
• Создание и управление проектами
• Использование иерархии ресурсов для контроля доступа