GCP IAM 访问被拒绝:来自另一个域的用户无权访问组织下的查询 BQ
GCP IAM Access Denied: User from another domain does not have access to query BQ under Org
我在经过验证的域名 (company.tech) 下设置了 GCP 组织,并启用了云身份以使用 google 云项目。我正在通过 google 组(通过管理面板)管理对用户的访问。我创建了一个包含来自 (company.tech, service account, Gmail & company.co.xx) 的用户的组,即允许组织外部的成员,我们称该组为 >> gcpusers@company.tech
以下是为组添加的 IAM 策略:
BigQuery Job User
BigQuery Metadata Viewer
此外,ACL 访问已添加到数据集 BigQuery Data Viewer
问题是,我可以从 gmail, service account & company.tech 域帐户查询,但 company.co.xx 下的用户(这不是云身份帐户,而是 google 映射帐户使用注册使用订阅了 Office 365 的现有电子邮件)既不能 select 项目也不能查询并最终得到以下错误并且不能 preview/query bigquery 数据集表。
Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>
我尝试了以下方法,但对于 company.co.xx 个帐户我仍然遇到同样的错误:
- 添加自定义规则以允许 company.co.xx 在域限制联系人组织策略下
- 在 google 管理面板中的
Allowlisted domains 下添加了域(但不幸的是,如前所述,该域未与云链接 identity/gws 而是使用现有电子邮件注册帐户)
Google 群组独立于 Google Cloud IAM 进行管理 - 它们是独立的服务。您可以将身份添加到 Google 组,但 Google Cloud IAM 不支持。就您而言,这就是您所做的。如果您想将 Microsoft 身份与 Google 云一起使用,您将需要设置与 Active Directory 的联盟。
我在经过验证的域名 (company.tech) 下设置了 GCP 组织,并启用了云身份以使用 google 云项目。我正在通过 google 组(通过管理面板)管理对用户的访问。我创建了一个包含来自 (company.tech, service account, Gmail & company.co.xx) 的用户的组,即允许组织外部的成员,我们称该组为 >> gcpusers@company.tech
以下是为组添加的 IAM 策略:
BigQuery Job User
BigQuery Metadata Viewer
此外,ACL 访问已添加到数据集 BigQuery Data Viewer
问题是,我可以从 gmail, service account & company.tech 域帐户查询,但 company.co.xx 下的用户(这不是云身份帐户,而是 google 映射帐户使用注册使用订阅了 Office 365 的现有电子邮件)既不能 select 项目也不能查询并最终得到以下错误并且不能 preview/query bigquery 数据集表。
Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>
我尝试了以下方法,但对于 company.co.xx 个帐户我仍然遇到同样的错误:
- 添加自定义规则以允许 company.co.xx 在域限制联系人组织策略下
- 在 google 管理面板中的
Allowlisted domains下添加了域(但不幸的是,如前所述,该域未与云链接 identity/gws 而是使用现有电子邮件注册帐户)
Google 群组独立于 Google Cloud IAM 进行管理 - 它们是独立的服务。您可以将身份添加到 Google 组,但 Google Cloud IAM 不支持。就您而言,这就是您所做的。如果您想将 Microsoft 身份与 Google 云一起使用,您将需要设置与 Active Directory 的联盟。