我最近一直在审查我们在 GCP 上的非常小的(但成立已久)组织的角色和 IAM,并意识到我们没有定义任何重要联系人(https://console.cloud.google.com/iam-admin/essential-contacts)。我无权查看此内容。
我回去完成了基础设置(https://console.cloud.google.com/cloud-setup- 我认为在我最初注册时这不存在)以确保我已经设置了具有正确角色/权限的正确组(并且我是其中的成员)。
但是,当我转到重要联系人并尝试单击“添加联系人”时,我收到一条消息,提示我没有所需的权限。
所以我可以去向我个人或某个团体添加此权限(这不是我的问题)。
我的问题是:
- 我实际上是否正确设置了基本组?(如果没有,如何正确设置)
- (假设我已正确设置它们)为什么此权限被排除在分配给组织管理员组的角色之外(“gcp-organization-admins@DOMAIN”,因为“组织管理员有权管理属于组织的所有资源”)。换句话说,组织管理员不应该已经拥有此权限吗?
PS:我是这个(小型)GCP 组织的所有者。
答案1
看来您在创建项目时使用的是默认角色,不建议使用它。即使您是项目的所有者,但无法创建重要联系人,也意味着您没有正确设置基本组。
如果您无法创建重要联系人,这意味着您需要重要联系人管理员角色,建议您至少再有一名具有该角色的用户安全管理员角色,具有获取和设置任何 IAM 策略的权限。此角色可帮助用户授予项目中任何一个所有者或任何其他角色的权限。所有者角色是传统角色,具有广泛的权限。
请参考官方GCP文档了解更多信息。
编辑 :
首先,请检查您是否使用了正确的组织和项目。
检查您是否已正确设置基础和管理角色,您可以获得如下图所示的结果
如果设置不正确,您将得到如下图所示的结果。
- 您可以检查您的角色: 登录控制台>>单击 IAM 和管理>>选择 IAM>>单击权限,然后您可以查看按角色查看和按主体查看
检查您是否在“按主体查看”中拥有重要联系人管理员角色,如果没有,则无法添加/查看联系人。默认情况下,所有者也没有该权限,因此请按如下方式添加。
您可以授予重要联系人管理员角色的访问权限,如下图所示,以便您获得添加联系人的权限。
