Пользователь Google Cloud IAM не наследует роль от организации

Question

В организации есть пользователь A с ролью

• Администратор Kubernetes Engine
• Редактор
• Организация Role Viewer
• Project IAM Admin

В организации есть проект А.

Однако пользователь A не отображается под IAM проекта A, при попытке gcloud projects get-iam-policy projectA --filter bindings.members:[User A Email] он вернет 0 совпадений, поскольку в IAM проекта A НЕТ пользователя A электронной почты.

Не является ли пользователь A автоматически унаследованным от организации и получает соответствующие проекты?

Answer 1

Роль, предоставленная на уровне Организация , будет наследоваться уровнями Папка и Проект . Вы должны добавить пользователя в проект, и это решит его.

Если вы хотите узнать больше о политиках IAM, обратитесь к Использование иерархии ресурсов для контроля доступа

Answer 2

Да, любые роли, назначенные пользователю на уровне организации, будут унаследованы всеми папками и проектами в организации. Таким образом, у пользователя A есть все роли, перечисленные вами во всех проектах.

Однако

gcloud projects get-iam-policy projectA

(соответствует projects.getIamPolicy ) возвращает только те политики, которые вы устанавливается для projectA напрямую через

gcloud projects set-iam-policy projectA

(соответствует projects.setIamPolicy ).

Не возвращает унаследованные политики из организации.

Вы сможете найти пользователя A в политике org IAM с помощью

gcloud organizations get-iam-policy 123

(при условии, что ваш идентификатор организации равен 123).