Propagazione delle modifiche degli accessi

In IAM, le modifiche all'accesso, ad esempio la concessione di un ruolo o la negazione di un'autorizzazione, sono alla fine coerenti. Ciò significa che la modifica dell'accesso tramite il sistema richiede tempo. Nel frattempo, le recenti modifiche all'accesso potrebbero non essere efficaci ovunque. Ad esempio, le entità potrebbero essere ancora in grado di utilizzare un ruolo revocato di recente o un'autorizzazione negata di recente. In alternativa, potrebbero non essere in grado di utilizzare un ruolo concesso di recente o un'autorizzazione che avevano fino a quando ne ha negato l'uso.

Il tempo necessario per la propagazione di una modifica dell'accesso dipende da come apporti la modifica:

Metodo Esempi Tempo di propagazione

Metodo	Esempi	Tempo di propagazione
Modificare un criterio Modifica l'accesso di un'entità modificando un criterio di autorizzazione o rifiuto. Quando modifichi un criterio, non puoi superare i limiti al numero di entità consentite in un criterio.	Modifica il criterio di autorizzazione dell'organizzazione per concedere a un'entità il ruolo Amministratore organizzazione (`roles/resourcemanager.organizationAdmin`). Puoi modificare un criterio di negazione a livello di organizzazione per negare a un'entità l'autorizzazione `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	In genere 2 minuti, potenzialmente anche più di 7 minuti
Modificare l'iscrizione a un gruppo Modificare l'accesso di un'entità aggiungendola o rimuovendola da un gruppo Google incluso in un criterio di autorizzazione o negazione.	Hai un gruppo, `org-admins@example.com`, a cui è stato concesso il ruolo Amministratore organizzazione nella tua organizzazione. Puoi aggiungere un'entità al gruppo per assegnargli il ruolo Amministratore organizzazione. Hai un gruppo, `eng@example.com`, a cui è stata negata l'autorizzazione `cloudresourcemanager.googleapis.com/projects.setIamPolicy` a livello di organizzazione. Puoi aggiungere un'entità al gruppo per negare l'autorizzazione `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	In genere diversi minuti, potenzialmente ore o più
Modificare l'iscrizione di un gruppo nidificato Modificare l'accesso di un'entità aggiungendola o rimuovendola da un gruppo nidificato il cui gruppo principale è incluso in un criterio di autorizzazione o negazione.	Hai un gruppo, `admins@example.com`, a cui è stato concesso il ruolo Visualizzatore tag (`roles/resourcemanager.tagViewer`) nella tua organizzazione. L'appartenenza a questo gruppo è composta da un certo numero di altri gruppi, tra cui `org-admins@example.com`. Puoi aggiungere un'entità al gruppo `org-admins@example.com` per assegnargli il ruolo Visualizzatore tag. Hai un gruppo, `eng@example.com`, a cui è stata negata l'autorizzazione `cloudresourcemanager.googleapis.com/projects.setIamPolicy` a livello di organizzazione. L'appartenenza a questo gruppo è composta da molti altri gruppi, tra cui `eng-prod@example.com`. Puoi aggiungere un'entità al gruppo `eng-prod@example.com` per negare l'autorizzazione `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	In genere diversi minuti, potenzialmente ore o più

Modificare un criterio

Modifica l'accesso di un'entità modificando un criterio di autorizzazione o rifiuto.

Quando modifichi un criterio, non puoi superare i limiti al numero di entità consentite in un criterio.

Modifica il criterio di autorizzazione dell'organizzazione per concedere a un'entità il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).
Puoi modificare un criterio di negazione a livello di organizzazione per negare a un'entità l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.

In genere 2 minuti, potenzialmente anche più di 7 minuti

Modificare l'iscrizione a un gruppo

Modificare l'accesso di un'entità aggiungendola o rimuovendola da un gruppo Google incluso in un criterio di autorizzazione o negazione.

Hai un gruppo, org-admins@example.com, a cui è stato concesso il ruolo Amministratore organizzazione nella tua organizzazione. Puoi aggiungere un'entità al gruppo per assegnargli il ruolo Amministratore organizzazione.
Hai un gruppo, eng@example.com, a cui è stata negata l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy a livello di organizzazione. Puoi aggiungere un'entità al gruppo per negare l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.

In genere diversi minuti, potenzialmente ore o più

Modificare l'iscrizione di un gruppo nidificato

Modificare l'accesso di un'entità aggiungendola o rimuovendola da un gruppo nidificato il cui gruppo principale è incluso in un criterio di autorizzazione o negazione.

Hai un gruppo, admins@example.com, a cui è stato concesso il ruolo Visualizzatore tag (roles/resourcemanager.tagViewer) nella tua organizzazione. L'appartenenza a questo gruppo è composta da un certo numero di altri gruppi, tra cui org-admins@example.com. Puoi aggiungere un'entità al gruppo org-admins@example.com per assegnargli il ruolo Visualizzatore tag.
Hai un gruppo, eng@example.com, a cui è stata negata l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy a livello di organizzazione. L'appartenenza a questo gruppo è composta da molti altri gruppi, tra cui eng-prod@example.com. Puoi aggiungere un'entità al gruppo eng-prod@example.com per negare l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.

In genere diversi minuti, potenzialmente ore o più

Ricorda anche i seguenti dettagli su come cambiano le iscrizioni ai gruppi:

In generale, l'aggiunta di un'entità a un gruppo si propaga più velocemente rispetto alla rimozione di un'entità da un gruppo.
In generale, le modifiche all'appartenenza al gruppo si propagano più velocemente rispetto alle modifiche all'appartenenza al gruppo nidificate.

Puoi utilizzare queste stime del tempo di propagazione per determinare il modo in cui modifichi l'accesso dei entità.