我正在尝试为我的组织设置 VPC 共享。首先,我尝试在中央项目上创建留置权。即使我是组织管理员,我也无法在我的组织政策上设置限制留置权项目删除。这是我的命令和抛出的错误
gcloud alpha resource-manager org-policies enable-enforce --organization ORGID compute.restrictXpnProjectLienRemoval
ERROR: (gcloud.alpha.resource-manager.org-policies.enable-enforce) User [MyID] does not have permission to access organizations instance [ORGID:setOrgPolicy] (or it may not exist): The caller does not have permission
我执行了 gcloud init 并重新授权了自己。没有运气。我也尝试了相同的 beta 命令。我该怎么办?请帮忙。
答案1
拥有组织政策.政策管理角色可以定义组织级别的策略约束(约束/计算.restrictXpnProjectLienRemoval) 将解除留置权的权限限制在以下角色:
- 在组织级别具有 role/owner 或 role/resourcemanager.lienModifier 的用户
- 具有自定义角色的用户,包括组织级别的 resourcemanager.projects.get 和 resourcemanager.projects.updateLiens 权限。
请遵循以下步骤:
使用以下方式向 gcloud 进行身份验证,成为组织管理员或 IAM 成员:组织政策.政策管理角色。将 ORG_ADMIN 替换为组织管理员的名称:
gcloud auth login ORG_ADMIN通过查看此命令的输出来确定您的组织 ID 号。
gcloud organizations list执行计算.restrictXpnProjectLienRemoval通过运行此命令,您可以为您的组织制定策略。将 ORG_ID 替换为您在上一步中确定的数字。
gcloud beta resource-manager org-policies enable-enforce \ --organization ORG_ID compute.restrictXpnProjectLienRemoval
注意:默认情况下,项目所有者可以从项目(包括共享 VPC 宿主项目)中移除留置权,除非定义了组织级政策来限制留置权移除。
如需更多信息,请访问 Google文档。