访问权限更改传播

在 IAM 中,访问权限更改(例如授予角色或拒绝权限)具有最终一致性。这意味着通过系统更改访问权限需要一些时间。在此期间,近期的访问权限变更可能不会在所有国家/地区生效。例如,主账号可能仍能使用最近被撤消的角色或最近被拒绝的权限。或者,他们可能无法使用最近授予的角色或直到最近才被拒绝使用的权限。

访问权限更改传播所需的时间取决于您进行访问权限更改的方式:

方法 示例 传播时间

更改政策

通过修改允许或拒绝政策来更改主账号的访问权限。

在更改政策时,您不得超出政策中允许的主账号数量限制

  • 您修改组织的允许政策,以向主账号授予“Organization Administrator”角色 (roles/resourcemanager.organizationAdmin)。
  • 您修改了组织级拒绝政策,以拒绝向某个主账号授予 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
通常 2 分钟,可能需要 7 分钟或更长时间

更改群组的成员资格

如需更改主账号的访问权限,您可以向允许或拒绝政策中包含的 Google 群组添加主账号或者从中移除主账号。

  • 您有一个群组 org-admins@example.com,该群组拥有组织的 Organization Administrator 角色。您可以向该群组添加主账号,为其授予 Organization Administrator”角色。
  • 您有一个群组 eng@example.com,该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。您可以向该群组添加主账号,使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
通常几分钟,也可能需要数小时或更长时间

更改嵌套群组的成员资格

通过在父级群组包含在允许或拒绝政策中的嵌套群组中添加主账号或者从中移除主账号来更改主账号的访问权限。

  • 您有一个群组 admins@example.com,该群组拥有组织的 Tag Viewer 角色 (roles/resourcemanager.tagViewer)。此群组的成员由许多其他群组(包括 org-admins@example.com)组成。您向 org-admins@example.com 群组添加主账号,以便向其授予“代码查看者”角色。
  • 您有一个群组 eng@example.com,该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。此群组的成员由许多其他群组(包括 eng-prod@example.com)组成。您可以在 eng-prod@example.com 群组中添加主账号,使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
通常几分钟,也可能需要数小时或更长时间

另请注意以下有关群组成员资格更改传播方式的详细信息:

  • 一般来说,向群组添加主账号的传播速度比从群组中移除主账号的传播速度更快。
  • 一般来说,群组成员资格更改的传播速度比嵌套群组成员资格更改的传播速度更快。

您可以根据这些传播时间估算值来确定修改正文访问权限的方式。