GCP IAM 政策继承

GCP IAM 政策继承

我一直在尝试仔细查看与 IAM 策略相关的 GCP 文档,对于子策略何时可以覆盖父策略,我感到有些困惑。在以下最佳实践部分的链接中,我提到: https://cloud.google.com/iam/docs/resource-hierarchy-access-control “请记住,在子资源上设置的策略不能限制在其父级上授予的访问权限。检查在每个资源上授予的策略并了解层次继承。”但是,在下面的链接中: https://cloud.google.com/resource-manager/docs/organization-policy/understanding-hierarchy 在提供的示例中,它表示:“资源 2 定义了一个自定义策略,该策略将 inheritFromParent 设置为 TRUE 并拒绝绿色圆圈。在策略协调期间,拒绝值始终优先。来自组织节点的策略被继承并与自定义策略合并,有效策略评估为仅允许红色方块。”

所以,我有点困惑。对此有什么想法?我可能遗漏了什么?

提前致谢!问候。

答案1

我注意到你正在尝试比较两个不同的概念,而第一个文档清楚地解释IAM 策略以及如何应用层次结构,第二份文件正在谈论组织政策如何约束可以帮助您强化您的组织资源。

相关内容