Почему новый пользователь G Suite имеет доступ ко всем ресурсам GCP по умолчанию и как ограничить этот доступ?

Question

У меня есть учетная запись G Suite, например, example.com, и я добавляю нового пользователя с именем user1@example.com.Теперь этот пользователь входит в консоль GCP (Google Cloud Platform) и имеет доступ ко всем ресурсам организации example.com.Этому пользователю не было назначено никаких ролей с использованием Cloud IAM, и конкретные политики не определены.

Ожидается, что по умолчанию user1@example.com не имеет доступа к ресурсам в GCP, пока не назначена какая-либо роль

Answer 1

В этом вопросе проблема вызвана добавлением члена Cloud IAM типа «домен:» в качестве члена, которому назначена роль владельца проекта. Все в одном домене наследуют разрешения, назначенные участнику домена.

Для наглядности у вас есть доменное имя example.com. Если вы добавите члена IAM domain:example.com в Cloud IAM, каждый, у кого есть адрес электронной почты, например, someone@example.com, унаследует разрешения, назначенные domain:example.com автоматически.

Член домена требует, чтобы адресами электронной почты управлял либо G Suite, либо Cloud Identity.

Домен G Suite