アクセス権の変更の伝播

IAM では、ロールの付与や権限の拒否などのアクセス権の変更には結果整合性があります。つまり、システムでアクセス権が変更されるまでに時間がかかります。しばらくの間は、最近のアクセス権の変更がすべての場所で有効になるとは限りません。たとえば、最近取り消されたロールや最近拒否された権限を引き続き使用できる場合があります。また、最近付与されたロールや、最近まで使用を拒否されていた権限を使用できないこともあります。

アクセス権の変更が伝播されるまでの時間は、アクセス権の変更方法によって異なります。

方法例伝播時間

方法	例	伝播時間
ポリシーを変更する許可ポリシーまたは拒否ポリシーを編集して、プリンシパルのアクセス権を変更します。ポリシーを変更するとき、ポリシーで許可されているプリンシパル数の上限を超えることはできません。	組織の許可ポリシーを編集して、プリンシパルに組織管理者のロール（`roles/resourcemanager.organizationAdmin`）を付与します。組織レベルの拒否ポリシーを編集して、プリンシパルの `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 権限を拒否します。	通常は 2 分、場合によっては 7 分以上
グループのメンバーを変更する許可ポリシーまたは拒否ポリシーに含まれる Google グループに対してプリンシパルの追加または削除を行い、プリンシパルのアクセス権を変更します。	組織の組織管理者ロールが付与されているグループ `org-admins@example.com` があります。グループにプリンシパルを追加して、組織管理者のロールを付与します。組織レベルで `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 権限が拒否されたグループ `eng@example.com` があります。`cloudresourcemanager.googleapis.com/projects.setIamPolicy` 権限を拒否するには、グループにプリンシパルを追加します。	通常は数分、場合によっては数時間以上
ネストされたグループのメンバーを変更する親グループが許可ポリシーまたは拒否ポリシーに含まれるネストされたグループに対してプリンシパルの追加または削除を行い、プリンシパルのアクセス権を変更します。	組織のタグ閲覧者ロール（`roles/resourcemanager.tagViewer`）が付与されているグループ `admins@example.com` があります。このグループのメンバーは、`org-admins@example.com` を含む他の多数のグループで構成されています。`org-admins@example.com` グループにプリンシパルを追加して、タグ閲覧者のロールを付与します。組織レベルで `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 権限が拒否されたグループ `eng@example.com` があります。このグループのメンバーは、`eng-prod@example.com` を含む他の多くのグループで構成されています。`eng-prod@example.com` グループにプリンシパルを追加して、`cloudresourcemanager.googleapis.com/projects.setIamPolicy` 権限を拒否します。	通常は数分、場合によっては数時間以上

ポリシーを変更する

許可ポリシーまたは拒否ポリシーを編集して、プリンシパルのアクセス権を変更します。

ポリシーを変更するとき、ポリシーで許可されているプリンシパル数の上限を超えることはできません。

組織の許可ポリシーを編集して、プリンシパルに組織管理者のロール（roles/resourcemanager.organizationAdmin）を付与します。
組織レベルの拒否ポリシーを編集して、プリンシパルの cloudresourcemanager.googleapis.com/projects.setIamPolicy 権限を拒否します。

通常は 2 分、場合によっては 7 分以上

グループのメンバーを変更する

許可ポリシーまたは拒否ポリシーに含まれる Google グループに対してプリンシパルの追加または削除を行い、プリンシパルのアクセス権を変更します。

組織の組織管理者ロールが付与されているグループ org-admins@example.com があります。グループにプリンシパルを追加して、組織管理者のロールを付与します。
組織レベルで cloudresourcemanager.googleapis.com/projects.setIamPolicy 権限が拒否されたグループ eng@example.com があります。cloudresourcemanager.googleapis.com/projects.setIamPolicy 権限を拒否するには、グループにプリンシパルを追加します。

通常は数分、場合によっては数時間以上

ネストされたグループのメンバーを変更する

親グループが許可ポリシーまたは拒否ポリシーに含まれるネストされたグループに対してプリンシパルの追加または削除を行い、プリンシパルのアクセス権を変更します。

組織のタグ閲覧者ロール（roles/resourcemanager.tagViewer）が付与されているグループ admins@example.com があります。このグループのメンバーは、org-admins@example.com を含む他の多数のグループで構成されています。org-admins@example.com グループにプリンシパルを追加して、タグ閲覧者のロールを付与します。
組織レベルで cloudresourcemanager.googleapis.com/projects.setIamPolicy 権限が拒否されたグループ eng@example.com があります。このグループのメンバーは、eng-prod@example.com を含む他の多くのグループで構成されています。eng-prod@example.com グループにプリンシパルを追加して、cloudresourcemanager.googleapis.com/projects.setIamPolicy 権限を拒否します。

通常は数分、場合によっては数時間以上

グループメンバーシップの変更がどのように反映されるかについては、次の点にも注意してください。

一般に、プリンシパルをグループに追加すると、グループからプリンシパルを削除するよりも速く伝播されます。
一般に、グループメンバーの変更は、ネストされたグループメンバーの変更よりも速く反映されます。

この伝播時間の推定値から、プリンシパルのアクセス権を変更する方法を確認できます。