如何阻止用户创建 GCP 项目

Question 1

权限是从顶部继承，在这种情况下组织：

默认情况下，创建组织时，您的整个域都会在组织级别被授予项目创建者和结算帐户创建者 IAM 角色。这可确保您域中的用户能够像以前一样继续创建项目，并且不会发生中断。

组织管理员将决定何时开始积极使用该组织。然后他们可以根据需要更改默认权限并实施更严格的政策。

如果您想限制组织中的项目创建，请更改组织访问策略授予项目创建者角色到您管理的群组。

具体来说，你想剥夺的角色是角色/resourcemanager.projectCreator：

提供创建新项目的权限。用户创建项目后，系统会自动授予其该项目的所有者角色。

Answer

权限是从顶部继承，在这种情况下组织：

默认情况下，创建组织时，您的整个域都会在组织级别被授予项目创建者和结算帐户创建者 IAM 角色。这可确保您域中的用户能够像以前一样继续创建项目，并且不会发生中断。

组织管理员将决定何时开始积极使用该组织。然后他们可以根据需要更改默认权限并实施更严格的政策。

如果您想限制组织中的项目创建，请更改组织访问策略授予项目创建者角色到您管理的群组。

具体来说，你想剥夺的角色是角色/resourcemanager.projectCreator：

提供创建新项目的权限。用户创建项目后，系统会自动授予其该项目的所有者角色。

Question 2

我知道这篇文章已经很老了，但这个问题仍然有效。要在 GCP Org 中修复此问题：

在控制台中选择组织
转至 IAM 和管理 > 管理资源
选择组织
在“权限”下，输入“创建者”以过滤所有其他角色。您将剩下“结算帐户创建者”和“项目创建者”
对于这两者，请确保您已拥有并以具有这些角色的主体身份登录（在我的示例中，我有“gcp-billing-admins@...”和“gcp-organization-admins@...”的组
您可能会在每个角色下看到组织图标和组织名称。从每个角色中删除组织

截屏：

Answer

我知道这篇文章已经很老了，但这个问题仍然有效。要在 GCP Org 中修复此问题：

在控制台中选择组织
转至 IAM 和管理 > 管理资源
选择组织
在“权限”下，输入“创建者”以过滤所有其他角色。您将剩下“结算帐户创建者”和“项目创建者”
对于这两者，请确保您已拥有并以具有这些角色的主体身份登录（在我的示例中，我有“gcp-billing-admins@...”和“gcp-organization-admins@...”的组
您可能会在每个角色下看到组织图标和组织名称。从每个角色中删除组织

截屏：

相关内容