我正在这里阅读GCP的IAM政策。现在考虑这个资源层次结构。
假设我想给&;instance_a&;;的启动实例权限(compute.instances.start)执行abc@gcp.com并启动" instance_& quot;实例权限到xyz@gcp.com。显然,我无法在"example-test"中创建IAM策略(基于本文中提到的IAM策略对象示例)。文件夹,因为它不会给我我正在寻找的粒度。
有可能在GCP中实现这种粒度级别吗?
权限从顶层(组织)继承到下层(资源,在您的示例中是VM)。因此,如果您在项目级别(Example-test)授予权限,则该权限将在属于该项目的所有资源(instance_A和instance_B)中继承。
因此,你不能(轻易)达到你想要的。
但实际上,您可以在IAM角色上添加条件。例如,您可以在资源名称或资源标记上添加条件,以允许或禁止用户或其他用户的访问。
但是明智地使用条件,如果您混合了多个级别(在层次结构中)的权限定义和不同的条件,那么调试IAM权限问题可能会成为一场噩梦。尽量保持事物的同质性和简单性。