我一直在尝试仔细查看与 IAM 策略相关的 GCP 文档,对于子策略何时可以覆盖父策略,我感到有些困惑。在以下最佳实践部分的链接中,我提到: https://cloud.google.com/iam/docs/resource-hierarchy-access-control “请记住,在子资源上设置的策略不能限制在其父级上授予的访问权限。检查在每个资源上授予的策略并了解层次继承。”但是,在下面的链接中: https://cloud.google.com/resource-manager/docs/organization-policy/understanding-hierarchy 在提供的示例中,它表示:“资源 2 定义了一个自定义策略,该策略将 inheritFromParent 设置为 TRUE 并拒绝绿色圆圈。在策略协调期间,拒绝值始终优先。来自组织节点的策略被继承并与自定义策略合并,有效策略评估为仅允许红色方块。”
所以,我有点困惑。对此有什么想法?我可能遗漏了什么?
提前致谢!问候。