是否可以在需要多个角色/权限/组成员身份的 GCP 资源上设置访问权限?基本上,权限具有逻辑 AND。
IAM“条件”功能提供了基本角色分配要求的方法,例如时间和持续时间限制,但这不是我想要的。
组织结构示例:
- Testing folder:
--- SomeProject [Require "Testing" group membership]
--- AnotherProject [Require "Testing" group membership]
--- SecretProject [Require "Testing" AND "Secret" group membership]
- Production folder
--- SomeProject1 [Require "Production" group membership]
--- AnotherProject1 [Require "Production" group mmebrship]
--- SecretProject1 [Require "Production" AND "Secret" group membership]
谢谢。
答案1
嘿,正如你提到的Cloud IAM 条件不符合您的需要。我认为组织结构可以是满足此要求的一种方法。
例如,如果我们设置为以下并在该文件夹级别分配权限,则此云可以满足您的需求。
ORG
|
-------------------------------
secret regular (folders)
| |
-------- --------
sec- sec- reg- reg- (Folders)
lab-1 lab-2 OP-1 OP-2
注意:我本来想把这个作为评论,但由于我的反对,把它作为答案。但是,如果你建议,我会编辑或更改这个答案。