访问权限更改传播

在 IAM 中，访问权限更改（例如授予角色或拒绝权限）具有最终一致性。这意味着通过系统更改访问权限需要一些时间。在此期间，近期的访问权限更改可能不会在所有地方生效。例如，主账号可能仍能使用最近被撤消的角色或最近被拒绝的权限。或者，他们可能无法使用最近授予的角色或直到最近才被拒绝使用的权限。

访问权限更改传播所需的时间取决于您进行访问权限更改的方式：

方法示例传播时间

方法	示例	传播时间
更改政策通过修改允许或拒绝政策更改主账号的访问权限。在更改政策时，您不得超过政策中允许的主账号数量限制。	您可以修改组织的允许政策，以向某个主账号授予 Organization Administrator 角色 (`roles/resourcemanager.organizationAdmin`)。您可以修改组织级拒绝政策，以拒绝主账号使用 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 权限。	通常为 2 分钟，可能长达 7 分钟或更长时间
更改群组的成员资格如需更改主账号的访问权限，您可以向允许或拒绝政策中包含的 Google 群组添加主账号或者从中移除主账号。	您有一个群组 `org-admins@example.com`，该群组拥有组织的 Organization Administrator 角色。您可以向该群组添加主账号，以向其授予 Organization Administrator 角色。您有一个群组 `eng@example.com`，该群组在组织级层没有 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 权限。您可以向该群组添加主账号，使其没有 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 权限。	通常需要几分钟，也可能需要几个小时或更长时间
更改嵌套群组的成员资格通过在父级群组包含在允许或拒绝政策中的嵌套群组中添加主账号或者从中移除主账号来更改主账号的访问权限。	您有一个群组 `admins@example.com`，该群组拥有组织的 Tag Viewer 角色 (`roles/resourcemanager.tagViewer`)。此群组的成员由许多其他群组（包括 `org-admins@example.com`）组成。您可以向 `org-admins@example.com` 群组添加主账号，以向其授予 Tag Viewer 角色。您有一个群组 `eng@example.com`，该群组在组织级层没有 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 权限。此群组的成员由许多其他群组（包括 `eng-prod@example.com`）组成。您可以在 `eng-prod@example.com` 群组中添加主账号，使其没有 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 权限。	通常需要几分钟，也可能需要几个小时或更长时间

更改政策

通过修改允许或拒绝政策更改主账号的访问权限。

在更改政策时，您不得超过政策中允许的主账号数量限制。

您可以修改组织的允许政策，以向某个主账号授予 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin)。
您可以修改组织级拒绝政策，以拒绝主账号使用 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。

通常为 2 分钟，可能长达 7 分钟或更长时间

更改群组的成员资格

如需更改主账号的访问权限，您可以向允许或拒绝政策中包含的 Google 群组添加主账号或者从中移除主账号。

您有一个群组 org-admins@example.com，该群组拥有组织的 Organization Administrator 角色。您可以向该群组添加主账号，以向其授予 Organization Administrator 角色。
您有一个群组 eng@example.com，该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。您可以向该群组添加主账号，使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。

通常需要几分钟，也可能需要几个小时或更长时间

更改嵌套群组的成员资格

通过在父级群组包含在允许或拒绝政策中的嵌套群组中添加主账号或者从中移除主账号来更改主账号的访问权限。

您有一个群组 admins@example.com，该群组拥有组织的 Tag Viewer 角色 (roles/resourcemanager.tagViewer)。此群组的成员由许多其他群组（包括 org-admins@example.com）组成。您可以向 org-admins@example.com 群组添加主账号，以向其授予 Tag Viewer 角色。
您有一个群组 eng@example.com，该群组在组织级层没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。此群组的成员由许多其他群组（包括 eng-prod@example.com）组成。您可以在 eng-prod@example.com 群组中添加主账号，使其没有 cloudresourcemanager.googleapis.com/projects.setIamPolicy 权限。

通常需要几分钟，也可能需要几个小时或更长时间

另请注意以下有关群组成员资格更改传播方式的详细信息：

一般来说，将主账号添加到群组要比从群组中移除主账号的传播速度快。
一般来说，群组成员资格更改要比嵌套群组成员资格更改的传播速度快。

您可以使用这些传播时间估算值来确定修改主账号访问权限的方式。