在 IAM 中,访问权限更改(例如授予角色或拒绝权限)是最终一致的。这意味着通过系统更改访问权限需要一些时间。在此期间,最近的访问权限更改可能不会在所有位置都生效。例如,主帐号可能仍然可以使用最近撤消的角色或最近拒绝的权限。或者,他们可能无法使用最近授予的角色或直到最近才被拒绝使用的权限。
访问权限更改传播所需的时间取决于您进行访问权限更改的方式:
方法 |
示例 |
传播时间 |
更改政策
通过修改允许或拒绝政策更改主帐号的访问权限。
更改政策时,您无法超出政策中允许的主帐号数量限制。
|
-
您可以修改组织的允许政策,以便向主帐号授予 Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin )。
-
您可以修改组织级层的拒绝政策以拒绝主帐号
cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
|
通常为 2 分钟,可能为 7 分钟或更长时间 |
更改群组的成员资格
如需更改主帐号的访问权限,您可以向允许或拒绝政策中包含的 Google 群组添加主帐号或者从中移除主帐号。
|
-
您有一个群组
org-admins@example.com ,该群组拥有组织的 Organization Administrator 角色。您可以向该群组添加主帐号,以为其授予 Organization Administrator 角色。
-
您有一个群组
eng@example.com ,该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。您可以向该群组添加主帐号,使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
|
通常几分钟,可能几小时或更长时间 |
更改嵌套群组的成员资格
通过在父级群组包含在允许或拒绝政策中的嵌套群组中添加主帐号或者从中移除主帐号来更改主帐号的访问权限。
|
-
您有一个群组
admins@example.com ,该群组拥有组织的 Tag Viewer 角色 (roles/resourcemanager.tagViewer )。此群组的成员由许多其他群组(包括 org-admins@example.com )组成。您可以向 org-admins@example.com 群组添加主帐号,以为其授予 Tag Viewer 角色。
-
您有一个群组
eng@example.com ,该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。此群组的成员由许多其他群组(包括 eng-prod@example.com )组成。您可以在 eng-prod@example.com 群组中添加主帐号,使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。
|
通常几分钟,可能几小时或更长时间 |
另请注意以下有关群组成员资格更改传播方式的详细信息:
- 通常,向群组添加主帐号比从群组中移除主帐号传播得更快。
- 通常,群组成员资格更改的传播速度快于嵌套群组成员资格的更改。
您可以使用这些传播时间估算值来告知修改主帐号的访问权限的方式。