发送反馈
访问权限更改传播
在 IAM 中,访问权限更改(例如授予角色或拒绝权限)具有最终一致性 。这意味着,访问权限更改需要一段时间才能在整个系统中生效。在此期间,近期的访问权限更改可能不会在所有地方生效。例如,主账号可能仍能使用最近被撤消的角色或最近被拒绝的权限。或者,他们可能无法使用最近授予的角色或直到最近才被拒绝使用的权限。
访问权限更改传播所需的时间取决于您进行访问权限更改的方式:
方法
示例
传播时间
更改政策
通过修改允许或拒绝政策更改主账号的访问权限。
在更改政策时,您不得超过政策中允许的主账号数量限制 。
您可以修改组织的允许政策,以向某个主账号授予 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin)。
您可以修改组织级拒绝政策,以拒绝主账号使用 cloudresourcemanager.googleapis.com/ 权限。
通常为 2 分钟,可能长达 7 分钟或更长时间
更改群组的成员资格
如需更改主账号的访问权限,您可以向允许或拒绝政策中包含的 Google 群组添加主账号或者从中移除主账号。
您有一个群组 org-admins@example.com,该群组拥有组织的 Organization Administrator 角色。您可以向该群组添加主账号,以向其授予 Organization Administrator 角色。
您有一个群组 eng@example.com,该群组在组织级层没有 cloudresourcemanager.googleapis.com/ 权限。您可以向该群组添加主账号,使其没有 cloudresourcemanager.googleapis.com/ 权限。
通常需要几分钟,也可能需要几个小时或更长时间
更改嵌套群组的成员资格
通过在父级群组包含在允许或拒绝政策中的嵌套群组 中添加主账号或者从中移除主账号来更改主账号的访问权限。
您有一个群组 admins@example.com,该群组拥有组织的 Tag Viewer 角色 (roles/resourcemanager.tagViewer)。此群组的成员由许多其他群组(包括 org-admins@example.com)组成。您可以向 org-admins@example.com 群组添加主账号,以向其授予 Tag Viewer 角色。
您有一个群组 eng@example.com,该群组在组织级层没有 cloudresourcemanager.googleapis.com/ 权限。此群组的成员由许多其他群组(包括 eng-prod@example.com)组成。您可以在 eng-prod@example.com 群组中添加主账号,使其没有 cloudresourcemanager.googleapis.com/ 权限。
通常需要几分钟,也可能需要几个小时或更长时间
另请注意以下有关群组成员资格更改传播方式的详细信息:
一般来说,将主账号添加到群组要比从群组中移除主账号的传播速度快。
一般来说,群组成员资格更改要比嵌套群组成员资格更改的传播速度快。
您可以使用这些传播时间估算值来确定修改主账号访问权限的方式。
发送反馈
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可 获得了许可,并且代码示例已根据 Apache 2.0 许可 获得了许可。有关详情,请参阅 Google 开发者网站政策 。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-10-21。
需要向我们提供更多信息?
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-10-21。"],[],[]]
