google-cloud-platform - 为什么新 G Suite 用户默认有权访问所有 GCP 资源以及如何限制此访问权限?
问题描述
我有 G Suite 帐户,例如 example.com,我添加了一个名为 user1@example.com 的新用户。现在这个用户登录到 GCP(谷歌云平台)控制台,他可以访问 example.com 组织下的所有资源。尚未使用 Cloud IAM 为该用户分配任何角色,也未定义任何特定政策。
预计 user1@example.com 默认情况下在分配某些角色之前无权访问 GCP 下的资源
解决方案
在这个问题中,问题是由于将 Cloud IAM 成员类型“域:”添加为分配有项目所有者角色的成员而引起的。同一域中的每个人都继承分配给域成员的权限。
为清楚起见,您拥有域名example.com
. 如果您将 IAM 成员添加domain:example.com
到 Cloud IAM,每个拥有电子邮件地址的人(例如)someone@example.com
将domain:example.com
自动继承分配给的权限。
域成员要求电子邮件地址由 G Suite 或 Cloud Identity 管理。
推荐阅读
- javascript - 如何将 azure b2c 与 react 集成
- c++ - 在 Python3 中将 std::string 转换为 C++ 中的 PyObject
- kubernetes - 我可以从外部文件中获取 configMap 值吗?
- c# - Unity - FPS刚体控制器未与球形重力对齐
- c++ - C++解析器中的Bison %token-table替代品?
- mysql - 如何激活命名时区
- twitter-bootstrap - 引导程序中对块引用的 bg-faded 效果
- c - 为什么 gcc 和 clang 不对库函数的未使用结果发出警告?
- inno-setup - Inno Setup中ComboBox更改后在下一个屏幕上动态显示控件和内容?
- vba - VBA for ms-WORD - 基于对列表在所有单词实例上添加带有 VBA 的语音指南