我被分配了整个 GCP 组织的“所有者”角色,但我无法访问组织 IAM 或结算帐户。我尝试对主体运行查询,我可以看到我的帐户是“角色/所有者”角色的成员,但仍然没有任何结果。这是一个错误,还是真的有意让所有者角色的权限低于 resourcemanager.organizationAdministrator?谢谢!
答案1
所有者角色和管理员角色之间的基本区别在于:
组织的所有者是购买订阅的成员。所有者拥有所有权限,包括购买、升级、降级和取消订阅、修改产品访问权限、邀请和移除组织成员以及更改成员角色。每个组织只能有一个所有者。
而组织管理员则是拥有权限的成员,其权限包括修改其他成员的产品访问权限、邀请和删除组织成员以及更改成员角色。一个组织可以有多个管理员。
要确认您拥有哪个角色,可以运行以下命令:
gcloud iam role describe ROLE_ID [--organization=ORGANIZATION | --project=PROJECT_ID] [GCLOUD_WIDE_FLAG …]
您可以参考1对上述参数有任何疑问或者发现任何错误。
要检查您想要的帐单帐户的具体角色,请参考以下链接。 https://cloud.google.com/iam/docs/understanding-roles#billing-roles
默认情况下,资源经理管理员仅具有项目权限,参考以下链接。 https://cloud.google.com/iam/docs/understanding-roles#resource-manager-roles
答案2
我完成了这个故障排除,并最终通过授予自己所有这些权限来添加标准支持服务。
- 云支持管理员权限
gcloud organizations add-iam-policy-binding organisation_id --member='用户:[电子邮件保护]'--role=roles/cloudsupport.admin
- 组织管理员权限
gcloud organizations add-iam-policy-binding organisation_id --member='用户:[电子邮件保护]'--role =角色/resourcemanager.organizationAdmin
- 帐单管理员
gcloud organizations add-iam-policy-binding organisation_id --member='用户:[电子邮件保护]' --role=roles/billing.admin
- 需要技术支持编辑来创建/查看支持案例
gcloud organizations add-iam-policy-binding organisation_id --member='用户:[电子邮件保护]' --role=roles/cloudsupport.techSupportEditor
除此之外,您可能还需要超级管理员权限。
注意:角色/所有者只是具有所有资源访问权限的组织的所有者,此角色无权添加标准支持或查看所有 IAM 策略/角色
查找组织 ID
gcloud 组织列表