我已经创建了IAM策略&条件(CEL(。在一个条件下,是否可以引用角色中的特定权限并有效地"禁用"该权限。我想使用所提供的IAM预定义角色,但有例外,以获得给定的权限。你能提供一些更进一步、更广泛的例子吗?
我使用条件"禁用"一个权限的具体示例:
- 角色(预定义(:'roles/resourcemanager.folderAdmin'
- 权限(禁用(:"resourcemanager.projects.move">
如今,只能添加权限。最后一组权限是在添加权限
- 资源级别(例如,计算引擎(
- 项目级别
- 文件夹级别
- 组织级别
这就是为什么在层次结构的更高级别(组织级别(只授予最低权限很重要,因为权限只是附加的,你不能删除它们。。。。。今天
拒绝策略正在进行中,还没有时间表。但请继续关注,这可能是一份圣诞礼物
条件,无法更改此行为。你可以在许可的情况下做这样的事情
- 在没有任何条件的情况下,创建一个具有所需权限的自定义角色,并在资源上授予该权限
- 在特定条件下,还授予预定义的角色(具有附加权限(