如何阻止用户创建 GCP 项目

如何阻止用户创建 GCP 项目

在 GCP 中,任何用户都可以创建项目。一个组织最终可能会在其层次结构中拥有很多项目。

我们如何禁止所有用户创建项目,并且只允许少数授权用户这样做?

答案1

权限是从顶部继承,在这种情况下组织

默认情况下,创建组织时,您的整个域都会在组织级别被授予项目创建者和结算帐户创建者 IAM 角色。这可确保您域中的用户能够像以前一样继续创建项目,并且不会发生中断。

组织管理员将决定何时开始积极使用该组织。然后他们可以根据需要更改默认权限并实施更严格的政策。

使用资源层次结构进行访问控制最底部有一颗宝石:

如果您想限制组织中的项目创建,请更改组织访问策略授予项目创建者角色到您管理的群组。

具体来说,你想剥夺的角色是角色/resourcemanager.projectCreator

提供创建新项目的权限。用户创建项目后,系统会自动授予其该项目的所有者角色。

答案2

我知道这篇文章已经很老了,但这个问题仍然有效。要在 GCP Org 中修复此问题:

  1. 在控制台中选择组织
  2. 转至 IAM 和管理 > 管理资源
  3. 选择组织
  4. 在“权限”下,输入“创建者”以过滤所有其他角色。您将剩下“结算帐户创建者”和“项目创建者”
  5. 对于这两者,请确保您已拥有并以具有这些角色的主体身份登录(在我的示例中,我有“gcp-billing-admins@...”和“gcp-organization-admins@...”的组
  6. 您可能会在每个角色下看到组织图标和组织名称。从每个角色中删除组织

截屏:在此处输入图片描述

相关内容