Zugriffsänderungsweitergabe

In IAM sind Zugriffsänderungen, z. B. das Zuweisen einer Rolle oder das Ablehnen einer Berechtigung, letztendlich konsistent. Dies bedeutet, dass es einige Zeit dauert, bis Zugriffsänderungen über das System erfolgen. In der Zwischenzeit sind kürzlich vorgenommene Zugriffsänderungen möglicherweise nicht immer wirksam. Hauptkonten können beispielsweise weiterhin eine kürzlich widerrufene Rolle oder eine kürzlich abgelehnte Berechtigung verwenden. Alternativ können sie eine kürzlich gewährte Rolle oder Berechtigung möglicherweise erst verwenden, wenn sie zuvor abgelehnt wurde.

Wie lange es dauert, bis eine Zugriffsänderung wirksam wird, hängt davon ab, wie Sie die Zugriffsänderung vornehmen:

Methode Beispiele Weitergabezeit

Richtlinie ändern

Ändern Sie den Zugriff eines Hauptkontos, indem Sie eine Zulassung- oder Ablehnungsrichtlinie bearbeiten.

Wenn Sie Richtlinienänderungen vornehmen, dürfen Sie die Limits der in einer Richtlinie zulässigen Hauptkonten nicht überschreiten.

  • Sie bearbeiten die Zulassungsrichtlinie Ihrer Organisation, um einem Hauptkonto die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) zuzuweisen.
  • Sie bearbeiten eine Ablehnungsrichtlinie auf Organisationsebene, um einem Hauptkonto die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Normalerweise 2 Minuten, möglicherweise mindestens 7 Minuten

Mitgliedschaft von Gruppen ändern

Sie können den Zugriff eines Hauptkontos ändern, indem Sie es einer Google-Gruppe hinzufügen oder daraus entfernen, die in einer Richtlinie zum Zulassen oder Ablehnen enthalten ist.

  • Sie haben die Gruppe org-admins@example.com, der die Rolle "Organisationsadministrator" in Ihrer Organisation zugewiesen ist. Sie fügen der Gruppe ein Hauptkonto hinzu, um ihm die Rolle "Organisationsadministrator" zuzuweisen.
  • Sie haben die Gruppe eng@example.com, der die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy auf Organisationsebene verweigert wurde. Sie fügen der Gruppe ein Hauptkonto hinzu, um ihnen die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Normalerweise mehrere Minuten, möglicherweise Stunden oder länger

Mitgliedschaft einer verschachtelten Gruppe ändern

Ändern Sie den Zugriff eines Hauptkontos und fügen Sie es zu einer verschachtelten Gruppe hinzu, die in einer Zulassungs- oder Ablehnungsrichtlinie enthalten ist.

  • Sie haben die Gruppe admins@example.com, der die Rolle "Tag-Betrachter" (roles/resourcemanager.tagViewer) in Ihrer Organisation zugewiesen ist. Die Mitgliedschaft in dieser Gruppe besteht aus mehreren anderen Gruppen, darunter org-admins@example.com. Sie fügen der Gruppe org-admins@example.com ein Hauptkonto hinzu, um ihm die Rolle "Tag-Betrachter" zuzuweisen.
  • Sie haben die Gruppe eng@example.com, der die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy auf Organisationsebene verweigert wurde. Die Mitgliedschaft in dieser Gruppe besteht aus mehreren anderen Gruppen, darunter eng-prod@example.com. Sie fügen der Gruppe eng-prod@example.com ein Hauptkonto hinzu, um ihnen die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Normalerweise mehrere Minuten, möglicherweise Stunden oder länger

Beachten Sie außerdem die folgenden Details für die Weitergabe von Gruppenmitgliedschaften:

  • Im Allgemeinen wird das Hinzufügen eines Hauptkontos zu einer Gruppe schneller übernommen als das Entfernen eines Hauptkontos aus einer Gruppe.
  • Im Allgemeinen werden Änderungen der Gruppenmitgliedschaft schneller übernommen als Änderungen der verschachtelten Gruppenmitgliedschaft.

Sie können diese Verteilungszeitschätzungen verwenden, um zu bestimmen, wie Sie den Zugriff Ihrer Hauptkonten ändern.