为什么新的 G Suite 用户默认可以访问所有 GCP 资源,如何限制这种访问?
Why does a new G Suite user has access to all GCP resources by default and how to restrict this access?
我有 G Suite 帐户,比如说 example.com,我添加了一个名为 user1@example.com 的新用户。现在该用户登录到 GCP(Google 云平台)控制台,他可以访问 example.com 组织下的所有资源。尚未使用 Cloud IAM 为该用户分配任何角色,也未定义任何特定政策。
默认情况下,预计 user1@example.com 在分配某些角色之前无权访问 GCP 下的资源
在这个问题中,问题是由于将 Cloud IAM 成员类型 "domain:" 添加为分配有项目所有者角色的成员。同一域中的每个人都继承分配给域成员的权限。
为清楚起见,您有域名 example.com。如果您将 IAM 成员 domain:example.com 添加到 Cloud IAM,则拥有电子邮件地址的每个人,例如 someone@example.com 将自动继承分配给 domain:example.com 的权限。
域成员要求电子邮件地址由 G Suite 或 Cloud Identity 管理。
我有 G Suite 帐户,比如说 example.com,我添加了一个名为 user1@example.com 的新用户。现在该用户登录到 GCP(Google 云平台)控制台,他可以访问 example.com 组织下的所有资源。尚未使用 Cloud IAM 为该用户分配任何角色,也未定义任何特定政策。
默认情况下,预计 user1@example.com 在分配某些角色之前无权访问 GCP 下的资源
在这个问题中,问题是由于将 Cloud IAM 成员类型 "domain:" 添加为分配有项目所有者角色的成员。同一域中的每个人都继承分配给域成员的权限。
为清楚起见,您有域名 example.com。如果您将 IAM 成员 domain:example.com 添加到 Cloud IAM,则拥有电子邮件地址的每个人,例如 someone@example.com 将自动继承分配给 domain:example.com 的权限。
域成员要求电子邮件地址由 G Suite 或 Cloud Identity 管理。