Google cloud platform 我可以将组织级gcp自定义角色添加到项目中吗?
我试图在Google云组织中创建一个组,然后将该组应用于该组织的一个项目。但是,这似乎不起作用:Google cloud platform 我可以将组织级gcp自定义角色添加到项目中吗?,google-cloud-platform,gcloud,google-cloud-iam,Google Cloud Platform,Gcloud,Google Cloud Iam,我试图在Google云组织中创建一个组,然后将该组应用于该组织的一个项目。但是,这似乎不起作用: $gcloud项目添加iam策略绑定\ --member=“组:数据。viewer@example.com" \ --role=“roles/viewer”“我的项目” 错误:策略修改失败。对于具有条件的绑定,请运行“gcloud alpha iam policies lint condition”以确定条件中的问题。 错误:(gcloud.projects.add iam策略绑定)无效的\u参数
$gcloud项目添加iam策略绑定\
--member=“组:数据。viewer@example.com" \
--role=“roles/viewer”“我的项目”
错误:策略修改失败。对于具有条件的绑定,请运行“gcloud alpha iam policies lint condition”以确定条件中的问题。
错误:(gcloud.projects.add iam策略绑定)无效的\u参数:组数据。viewer@example.com不存在。
$gcloud iam角色描述data.viewer--组织1234567
描述:可以查看分析
埃塔格:。。。
名称:organizations/1234567/roles/data.viewer
阶段:阿尔法
标题:Data Viewer
Custom roles can only be used to grant permissions in policies for the same project or organization that owns the roles or resources under them. You cannot grant custom roles from one project or organization on a resource owned by a different project or organization.
我还想知道这是否是将用户分组并授予他们对各种项目的权限的正确方法。从上面的错误来看,似乎是分组数据。viewer@example.com不存在。
您能否确保该组确实存在并且由同一组织拥有?从上述错误中,似乎是组数据。viewer@example.com不存在。
您能否确保该组确实存在并由同一组织拥有?目前,根据云文档[1],“您不能在文件夹级别创建自定义角色。自定义角色只能用于为拥有其下的角色或资源的同一项目或组织授予策略中的权限。您不能从一个项目或组织对其他项目或组织拥有的资源授予自定义角色。”请参阅该页上的蓝色注释
[1] 目前,根据云文档[1],“您不能在文件夹级别创建自定义角色。自定义角色只能用于为拥有其下的角色或资源的同一项目或组织授予策略中的权限。您不能从一个项目或组织对其他项目或组织拥有的资源授予自定义角色。”请参阅该页上的蓝色注释 [1] 这是可能的 您需要将项目中的角色指定为: 组织/1234567/roles/data.viewer这是可能的 您需要将项目中的角色指定为:
organizations/1234567/roles/data.viewer我看到了这一点,但我(错误地)解释为组织内的项目可以使用组织角色。我看到了这一点,但我解释(错误地)了这是我对谷歌群组的误解。我的思维模式是“谷歌群组”,即usenet/dejanews的后代,用于管理邮件列表(和别名),以及gcp权限“群组”是完全不同的。显然不是这样。这是我对谷歌群组的误解。我的思维模式是“谷歌群组”,即usenet/dejanews的后代,用于管理邮件列表(和别名),而gcp权限“群组”则是完全不同的。显然不是这样。