IAM에서는 역할 부여 또는 권한 거부와 같은 액세스 변경사항이 eventual consistency를 갖습니다. 즉, 시스템을 통한 액세스 변경에 시간이 걸립니다. 그동안 최신 액세스 변경사항은 모든 곳에 적용되지 않을 수 있습니다. 예를 들어 주 구성원이 최근에 취소된 역할 또는 최근에 거부된 권한을 계속 사용할 수 있습니다. 또는 최근에 부여된 역할이나 최근까지 사용이 거부된 권한을 사용하지 못할 수도 있습니다.
조직의 허용 정책을 수정하여 주 구성원에게 조직 관리자 역할(roles/resourcemanager.organizationAdmin)을 부여합니다.
조직 수준 거부 정책을 수정하여 주 구성원의 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 2분(7분 이상 걸릴 수 있음)
그룹 멤버십 변경
허용 또는 거부 정책에 포함된 Google 그룹에서 주 구성원을 추가하거나 삭제하여 액세스 권한을 변경합니다.
조직에 조직 관리자 역할이 부여된 org-admins@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 조직 관리자 역할을 부여합니다.
조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)
중첩된 그룹의 멤버십 변경
상위 그룹이 허용 또는 거부 정책에 포함된 중첩된 그룹에서 주 구성원을 추가하거나 삭제하여 주 구성원의 액세스 권한을 변경합니다.
조직에 태그 뷰어 역할(roles/resourcemanager.tagViewer)이 부여된 admins@example.com 그룹이 있습니다. 이 그룹의 멤버십은 org-admins@example.com을 비롯한 다른 여러 그룹으로 구성되어 있습니다. org-admins@example.com 그룹에 주 구성원을 추가하여 태그 뷰어 역할을 부여합니다.
조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 이 그룹의 멤버십은 eng-prod@example.com을 비롯한 다른 여러 그룹으로 구성됩니다. eng-prod@example.com 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)
또한 그룹 멤버십 변경 전파 방법은 다음 세부정보에 유의하세요.
일반적으로 그룹에 주 구성원을 추가하면 그룹에서 주 구성원을 삭제하는 것보다 빠르게 전파됩니다.
일반적으로 그룹 멤버십 변경사항은 중첩된 그룹 멤버십 변경보다 더 빠르게 전파됩니다.
이러한 전파 시간 추정값을 사용하여 주 구성원의 액세스 권한을 수정하는 방법을 알릴 수 있습니다.
