Я пытаюсь создать Пользовательскую роль в облачной организации Google, а затем применить эту группу к одному из проектов этой организации. Однако, похоже, это не работает:
$ gcloud projects add-iam-policy-binding \
--member="group:data.viewer@example.com" \
--role="roles/viewer" "my-project"
ERROR: Policy modification failed. For a binding with condition, run "gcloud alpha iam policies lint-condition" to identify issues in condition.
ERROR: (gcloud.projects.add-iam-policy-binding) INVALID_ARGUMENT: Group data.viewer@example.com does not exist.
Вот роль организационного уровня, которую я пытаюсь назначить:
$ gcloud iam roles describe data.viewer --organization 1234567
description: Can View Analytics
etag: ...
name: organizations/1234567/roles/data.viewer
stage: ALPHA
title: Data Viewer
Документация кажется открытым для интерпретации:
Custom roles can only be used to grant permissions in policies for the same project or organization that owns the roles or resources under them. You cannot grant custom roles from one project or organization on a resource owned by a different project or organization.
Означает ли это, что моя пользовательская роль может или не может использоваться в проекте в этой организации?
Мне также интересно, если это не правильный способ сгруппировать пользователей и дать им разрешения для различных проектов.