在 GCP 中,任何用户都可以创建项目。一个组织最终可能会在其层次结构中拥有很多项目。
我们如何禁止所有用户创建项目,并且只允许少数授权用户这样做?
答案1
默认情况下,创建组织时,您的整个域都会在组织级别被授予项目创建者和结算帐户创建者 IAM 角色。这可确保您域中的用户能够像以前一样继续创建项目,并且不会发生中断。
组织管理员将决定何时开始积极使用该组织。然后他们可以根据需要更改默认权限并实施更严格的政策。
在使用资源层次结构进行访问控制最底部有一颗宝石:
具体来说,你想剥夺的角色是角色/resourcemanager.projectCreator:
提供创建新项目的权限。用户创建项目后,系统会自动授予其该项目的所有者角色。