Google cloud platform 使用不在IAM中的用户创建的Google云资源

情况：

• 我有一个GCP项目（

  所有者

  ），它在我无权访问的组织下，因此我在

  无组织

• 用户（

  xyz@domain.com

  ）已为现有pubsub主题创建订阅，我在“活动和审核日志”下看到了
• 此用户在IAM中对我不可见（例如，作为

  编辑器

  ，或具有某些pubsub特定角色）
• 我也无法在任何与发布/订阅相关的主题/订阅中看到该用户，尤其是在他创建订阅的主题中没有看到该用户

总结：

• xyz@domain.com

  创建了一个subs
• 我不知道他是从哪里得到这个角色的（继承的？）

问题:

此人是否可能在组织（或项目上方的某个文件夹）上拥有例如

编辑器，但我在项目的IAM部分没有看到该角色

如果没有，角色可以从何处继承

---

创建订阅

要订阅发布/订阅主题，用户应该能够创建订阅对象。要做到这一点，需要对主题拥有权限pubsub.subscriptions.create。它可以明确分配到主题上，也可以通过以下方式从父级（项目、文件夹、组织）继承：

• 从项目级别或更高级别继承的自定义角色
• 在发布/子主题级别分配或从父级继承的预定义角色pubsub.editor或pubsub.admin
• 从项目或服务资源级别或更高级别继承的原始角色编辑器或所有者；例如，计算引擎默认服务帐户新创建的VM实例正在代表其工作，该帐户在其所属的项目中具有编辑器角色

查看角色分配

要追踪有效权利从何处继承，至少需要以下许可：

• resourcemanager.organizations.getIamPolicy
• resourcemanager.folders.getIamPolicy
• resourcemanager.projects.getIamPolicy

包含以下权限的IAM预定义角色：

• resourcemanager.organizationAdmin
• iam.securityAdmin
• iam.securityReviewer

IAM可跟踪到文件夹级别的预定义角色包括：

• resourcemanager.folderAdmin
• resourcemanager.folderEditor
• resourcemanager.FolderiaAdmin

IAM基本角色：

• 观众
• 编辑
• 所有者

为了获得结果权限的全面视图，您应该被授予上面列出的角色，这些角色在IAM层次结构中分配得尽可能高（最好是在组织级别），以便获得足够的管理范围进行调查

您无法看到位于现有管理范围之外的绑定。因此，您无法看到从中继承权限的级别以及授予权限的安全主题

回到问题

此人是否可能在组织（或项目上方的某个文件夹）中有编辑，但我在项目的IAM部分中没有看到该角色？

• 对

如果没有，角色可以从何处继承？

• 项目上方的组织级别和所有文件夹级别（可以嵌套）

供应商文档

---

您是否在pubsub主题创建过程中看到任何添加/删除成员？@guillaumeblaquiere否，我在项目的审核日志中没有看到这方面的任何活动，但将再次检查。请您解释一下“……项目……不在任何组织下（我无权访问父组织）”？这听起来有点矛盾。对象层次结构中是否确实存在组织节点（例如，创建项目时没有组织和文件夹）？@mebius99:请参见此处（在框中）：Quote:（指“无组织”）用户有权访问但位于用户无权访问的组织下的项目。确定，谢谢你的澄清。因此，情况描述中的第一点应该理解为“……一个项目实际上在一个组织下，但我没有访问该父组织的权限”，并且无法查看它。谢谢，我认为这一段是我问题的核心：

您无法看到位于您拥有的管理范围之外的绑定。因此，您无法看到继承权限的级别以及授予权限的安全主题。

谢谢。不确定我是否同意“上述角色应尽可能高的分配”-这对于调查是有效的，但在所有其他情况下违反了最低特权原则。谢谢，我会接受的！这正是我的意思：调查的许可范围。谢谢你指出这一点。答案很精确。