在我们的 Google Cloud 项目中,我们已向某些用户授予以下 IAM 角色,但他们无法更改审计日志设置。
- 项目编辑器
- 日志管理员
当我尝试更改数据访问审计日志的默认配置时,出现一条消息说我没有足够的权限。
当授予项目所有者角色时,可以更改配置,但在实际环境中权限太强,因此无法授予所有者权限。请问我需要授予此用户什么权限才能更改审计日志设置?
答案1
用于将审计日志设置为 ADMIN_READ、DATA_READ 或 DATA_WRITE 的权限似乎是 resourcemanager.projects.setIamPolicy,因此您应该能够使用包含这些权限的任何角色。例如安全管理员、项目 IAM 管理员、组织管理员等。请参阅https://cloud.google.com/iam/docs/understanding-roles找到它们全部。