Penerapan perubahan akses

Di IAM, perubahan akses seperti memberikan peran atau menolak izin akan mengalami konsistensi tertunda. Artinya, perlu waktu untuk mengubah akses melalui sistem. Sementara itu, perubahan akses terbaru mungkin tidak berlaku di mana pun. Misalnya, akun utama mungkin masih akan menggunakan peran yang baru dicabut atau izin yang baru saja ditolak. Atau, mereka mungkin tidak dapat menggunakan peran yang baru saja diberikan atau izin yang hingga saat ini ditolak.

Jumlah waktu yang diperlukan agar perubahan akses diterapkan bergantung pada cara Anda mengubah akses tersebut:

Metode Contoh Waktu penerapan

Metode	Contoh	Waktu penerapan
Mengubah kebijakan Ubah akses akun utama dengan mengedit kebijakan izinkan atau tolak. Saat membuat perubahan kebijakan, Anda tidak dapat melebihi batas jumlah akun utama yang diizinkan dalam kebijakan.	Anda mengedit kebijakan izin organisasi untuk memberikan peran Organization Administrator (`roles/resourcemanager.organizationAdmin`) kepada akun utama. Anda mengedit kebijakan penolakan tingkat organisasi untuk menolak izin `cloudresourcemanager.googleapis.com/projects.setIamPolicy` pada akun utama.	Umumnya 2 menit, kemungkinan 7 menit atau lebih
Mengubah keanggotaan grup Ubah akses akun utama dengan menambahkan atau menghapusnya darI grup Google yang disertakan dalam kebijakan izinkan atau tolak.	Anda memiliki grup, `org-admins@example.com`, yang diberi peran Organization Administrator pada organisasi Anda. Anda dapat menambahkan akun utama ke grup untuk memberinya peran Organization Administrator. Anda memiliki grup, `eng@example.com`, yang ditolak izin `cloudresourcemanager.googleapis.com/projects.setIamPolicy` pada tingkat organisasi. Anda menambahkan akun utama ke grup untuk menolak izin `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Biasanya beberapa menit atau jam, bahkan lebih lama
Mengubah keanggotaan grup bertingkat Ubah akses akun utama dengan menambahkan atau menghapusnya dari grup bertingkat yang grup induknya disertakan dalam kebijakan izinkan atau tolak.	Anda memiliki grup, `admins@example.com`, yang diberi peran Tag Viewer (`roles/resourcemanager.tagViewer`) pada organisasi Anda. Keanggotaan grup ini terdiri dari beberapa grup, termasuk `org-admins@example.com`. Anda menambahkan akun utama ke grup `org-admins@example.com` untuk memberinya peran Tag Viewer. Anda memiliki grup, `eng@example.com`, yang ditolak izin `cloudresourcemanager.googleapis.com/projects.setIamPolicy` pada tingkat organisasi. Keanggotaan grup ini terdiri dari beberapa grup, termasuk `eng-prod@example.com`. Anda menambahkan akun utama ke grup `eng-prod@example.com` untuk menolak izin `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Biasanya beberapa menit atau jam, bahkan lebih lama

Mengubah kebijakan

Ubah akses akun utama dengan mengedit kebijakan izinkan atau tolak.

Saat membuat perubahan kebijakan, Anda tidak dapat melebihi batas jumlah akun utama yang diizinkan dalam kebijakan.

Anda mengedit kebijakan izin organisasi untuk memberikan peran Organization Administrator (roles/resourcemanager.organizationAdmin) kepada akun utama.
Anda mengedit kebijakan penolakan tingkat organisasi untuk menolak izin cloudresourcemanager.googleapis.com/projects.setIamPolicy pada akun utama.

Umumnya 2 menit, kemungkinan 7 menit atau lebih

Mengubah keanggotaan grup

Ubah akses akun utama dengan menambahkan atau menghapusnya darI grup Google yang disertakan dalam kebijakan izinkan atau tolak.

Anda memiliki grup, org-admins@example.com, yang diberi peran Organization Administrator pada organisasi Anda. Anda dapat menambahkan akun utama ke grup untuk memberinya peran Organization Administrator.
Anda memiliki grup, eng@example.com, yang ditolak izin cloudresourcemanager.googleapis.com/projects.setIamPolicy pada tingkat organisasi. Anda menambahkan akun utama ke grup untuk menolak izin cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Biasanya beberapa menit atau jam, bahkan lebih lama

Mengubah keanggotaan grup bertingkat

Ubah akses akun utama dengan menambahkan atau menghapusnya dari grup bertingkat yang grup induknya disertakan dalam kebijakan izinkan atau tolak.

Anda memiliki grup, admins@example.com, yang diberi peran Tag Viewer (roles/resourcemanager.tagViewer) pada organisasi Anda. Keanggotaan grup ini terdiri dari beberapa grup, termasuk org-admins@example.com. Anda menambahkan akun utama ke grup org-admins@example.com untuk memberinya peran Tag Viewer.
Anda memiliki grup, eng@example.com, yang ditolak izin cloudresourcemanager.googleapis.com/projects.setIamPolicy pada tingkat organisasi. Keanggotaan grup ini terdiri dari beberapa grup, termasuk eng-prod@example.com. Anda menambahkan akun utama ke grup eng-prod@example.com untuk menolak izin cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Biasanya beberapa menit atau jam, bahkan lebih lama

Perhatikan juga detail berikut tentang penyebaran perubahan keanggotaan grup:

Umumnya, menambahkan akun utama ke grup akan diterapkan lebih cepat daripada menghapus akun utama dari grup.
Umumnya, perubahan keanggotaan grup diterapkan lebih cepat daripada perubahan keanggotaan grup bertingkat.

Anda dapat menggunakan perkiraan waktu penerapan ini untuk mengetahui cara memodifikasi akses akun utama.