Google cloud platform 使用不在IAM中的用户创建的Google云资源
情况:Google cloud platform 使用不在IAM中的用户创建的Google云资源,google-cloud-platform,google-cloud-pubsub,google-iam,Google Cloud Platform,Google Cloud Pubsub,Google Iam,情况: 我有一个GCP项目(所有者),它在我无权访问的组织下,因此我在无组织 用户(xyz@domain.com)已为现有pubsub主题创建订阅,我在“活动和审核日志”下看到了 此用户在IAM中对我不可见(例如,作为编辑器,或具有某些pubsub特定角色) 我也无法在任何与发布/订阅相关的主题/订阅中看到该用户,尤其是在他创建订阅的主题中没有看到该用户 总结: xyz@domain.com创建了一个subs 我不知道他是从哪里得到这个角色的(继承的?) 问题: 此人是否可能在组织(或项
- 我有一个GCP项目(
),它在我无权访问的组织下,因此我在所有者
无组织
- 用户(
)已为现有pubsub主题创建订阅,我在“活动和审核日志”下看到了xyz@domain.com
- 此用户在IAM中对我不可见(例如,作为
,或具有某些pubsub特定角色)编辑器
- 我也无法在任何与发布/订阅相关的主题/订阅中看到该用户,尤其是在他创建订阅的主题中没有看到该用户
创建了一个subsxyz@domain.com
- 我不知道他是从哪里得到这个角色的(继承的?)
编辑器,但我在项目的IAM部分没有看到该角色
创建订阅 要订阅发布/订阅主题,用户应该能够创建订阅对象。要做到这一点,需要对主题拥有权限pubsub.subscriptions.create。它可以明确分配到主题上,也可以通过以下方式从父级(项目、文件夹、组织)继承:
- 从项目级别或更高级别继承的自定义角色李>
- 在发布/子主题级别分配或从父级继承的预定义角色pubsub.editor或pubsub.admin李>
- 从项目或服务资源级别或更高级别继承的原始角色编辑器或所有者;例如,计算引擎默认服务帐户新创建的VM实例正在代表其工作,该帐户在其所属的项目中具有编辑器角色
- resourcemanager.organizations.getIamPolicy
- resourcemanager.folders.getIamPolicy
- resourcemanager.projects.getIamPolicy
- resourcemanager.organizationAdmin
- iam.securityAdmin
- iam.securityReviewer
- resourcemanager.folderAdmin
- resourcemanager.folderEditor
- resourcemanager.FolderiaAdmin
- 观众
- 编辑
- 所有者
- 对
- 项目上方的组织级别和所有文件夹级别(可以嵌套)李>
您是否在pubsub主题创建过程中看到任何添加/删除成员?@guillaumeblaquiere否,我在项目的审核日志中没有看到这方面的任何活动,但将再次检查。请您解释一下“……项目……不在任何组织下(我无权访问父组织)”?这听起来有点矛盾。对象层次结构中是否确实存在组织节点(例如,创建项目时没有组织和文件夹)?@mebius99:请参见此处(在框中):Quote:(指“无组织”)用户有权访问但位于用户无权访问的组织下的项目。确定,谢谢你的澄清。因此,情况描述中的第一点应该理解为“……一个项目实际上在一个组织下,但我没有访问该父组织的权限”,并且无法查看它。谢谢,我认为这一段是我问题的核心:
您无法看到位于您拥有的管理范围之外的绑定。因此,您无法看到继承权限的级别以及授予权限的安全主题。
谢谢。不确定我是否同意“上述角色应尽可能高的分配”-这对于调查是有效的,但在所有其他情况下违反了最低特权原则。谢谢,我会接受的!这正是我的意思:调查的许可范围。谢谢你指出这一点。答案很精确。