Propagação de mudança de acesso

No IAM, as alterações de acesso, como conceder um papel ou negar uma permissão, têm consistência posterior. Isso significa que leva algum tempo para que as mudanças no acesso se propaguem pelo sistema. Enquanto isso, as alterações de acesso recentes podem não ser eficazes em todos os lugares. Por exemplo, os participantes ainda podem usar um papel revogado ou uma permissão negada recentemente. Por outro lado, eles não podem usar um papel concedido recentemente ou uma permissão que estava (até recentemente) com uso negado.

O tempo necessário para que uma mudança de acesso seja propagada depende de como ela é feita:

Método Examples Tempo de propagação

Método	Examples	Tempo de propagação
Mudar uma política Para alterar o acesso de um principal, edite uma política de permissão ou negação. Ao fazer alterações na política, não é possível exceder os limites do número de principais permitidos em uma política.	A política de permissão da organização é editada para conceder a um principal o papel de Administrador da organização (`roles/resourcemanager.organizationAdmin`). Uma política de negação no nível da organização é editada para negar ao principal a permissão `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Normalmente 2 minutos, possivelmente 7 minutos ou mais
Mudar a associação a um grupo Para alterar o acesso de um principal, adicione ou remova ele de um Grupo do Google incluído em uma política de permissão ou negação.	Você tem um grupo, `org-admins@example.com`, que recebe o papel de administrador da organização. Adicione um principal ao grupo para conceder a ele o papel de administrador da organização. Você tem um grupo, `eng@example.com`, que não tem a permissão `cloudresourcemanager.googleapis.com/projects.setIamPolicy` no nível da organização. Adicione um principal ao grupo para negar a permissão `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Normalmente vários minutos, possivelmente horas ou mais
Mudar a associação de um grupo aninhado Altere o acesso de um principal adicionando ou removendo-o de um grupo aninhado em que o grupo pai está incluído em uma política de permissão ou negação.	Você tem um grupo, `admins@example.com`, que recebe o papel Leitor de tags (`roles/resourcemanager.tagViewer`) na sua organização. A associação a esse grupo é composta por vários outros grupos, incluindo `org-admins@example.com`. Adicione um principal ao grupo `org-admins@example.com` para conceder a ele o papel Leitor de tags. Você tem um grupo, `eng@example.com`, que não tem a permissão `cloudresourcemanager.googleapis.com/projects.setIamPolicy` no nível da organização. A associação a esse grupo é composta por vários outros grupos, incluindo `eng-prod@example.com`. Adicione um principal ao grupo `eng-prod@example.com` para negar a permissão `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Normalmente vários minutos, possivelmente horas ou mais

Mudar uma política

Para alterar o acesso de um principal, edite uma política de permissão ou negação.

Ao fazer alterações na política, não é possível exceder os limites do número de principais permitidos em uma política.

A política de permissão da organização é editada para conceder a um principal o papel de Administrador da organização (roles/resourcemanager.organizationAdmin).
Uma política de negação no nível da organização é editada para negar ao principal a permissão cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Normalmente 2 minutos, possivelmente 7 minutos ou mais

Mudar a associação a um grupo

Para alterar o acesso de um principal, adicione ou remova ele de um Grupo do Google incluído em uma política de permissão ou negação.

Você tem um grupo, org-admins@example.com, que recebe o papel de administrador da organização. Adicione um principal ao grupo para conceder a ele o papel de administrador da organização.
Você tem um grupo, eng@example.com, que não tem a permissão cloudresourcemanager.googleapis.com/projects.setIamPolicy no nível da organização. Adicione um principal ao grupo para negar a permissão cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Normalmente vários minutos, possivelmente horas ou mais

Mudar a associação de um grupo aninhado

Altere o acesso de um principal adicionando ou removendo-o de um grupo aninhado em que o grupo pai está incluído em uma política de permissão ou negação.

Você tem um grupo, admins@example.com, que recebe o papel Leitor de tags (roles/resourcemanager.tagViewer) na sua organização. A associação a esse grupo é composta por vários outros grupos, incluindo org-admins@example.com. Adicione um principal ao grupo org-admins@example.com para conceder a ele o papel Leitor de tags.
Você tem um grupo, eng@example.com, que não tem a permissão cloudresourcemanager.googleapis.com/projects.setIamPolicy no nível da organização. A associação a esse grupo é composta por vários outros grupos, incluindo eng-prod@example.com. Adicione um principal ao grupo eng-prod@example.com para negar a permissão cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Normalmente vários minutos, possivelmente horas ou mais

Além disso, lembre-se dos seguintes detalhes sobre como as mudanças na associação ao grupo são propagadas:

Em geral, a adição de um principal a um grupo é propagada mais rápido do que remover um principal de um grupo.
Em geral, as mudanças na associação ao grupo são propagadas mais rapidamente do que as aninhadas na associação.

É possível usar essas estimativas de tempo de propagação para informar como você modifica o acesso dos principais.