要求 Google 云资源权限中有多个组成员身份

要求 Google 云资源权限中有多个组成员身份

是否可以在需要多个角色/权限/组成员身份的 GCP 资源上设置访问权限?基本上,权限具有逻辑 AND。

IAM“条件”功能提供了基本角色分配要求的方法,例如时间和持续时间限制,但这不是我想要的。

组织结构示例:

- Testing folder:
 --- SomeProject     [Require "Testing" group membership]
 --- AnotherProject  [Require "Testing" group membership]
 --- SecretProject   [Require "Testing" AND "Secret" group membership]
 - Production folder
 --- SomeProject1    [Require "Production" group membership]
 --- AnotherProject1 [Require "Production" group mmebrship]
 --- SecretProject1  [Require "Production" AND "Secret" group membership]

谢谢。

答案1

嘿,正如你提到的Cloud IAM 条件不符合您的需要。我认为组织结构可以是满足此要求的一种方法。

例如,如果我们设置为以下并在该文件夹级别分配权限,则此云可以满足您的需求。

                    ORG
                     |
      -------------------------------
     secret                      regular  (folders)
       |                           |
    --------                    --------
sec-      sec-               reg-     reg-  (Folders)
lab-1     lab-2              OP-1     OP-2

注意:我本来想把这个作为评论,但由于我的反对,把它作为答案。但是,如果你建议,我会编辑或更改这个答案。

相关内容