授予和撤消访问权限

控制台

1. 登录 GDC 控制台。
2. 从范围选择器中选择组织或项目。
   • 如需为组织设置角色绑定，请选择一个组织。
   • 如需为项目设置角色绑定，请选择一个项目。
3. 在导航菜单中，依次点击身份和访问权限 > 访问权限。
4. 点击添加成员。
5. 选择要添加单个用户还是群组。
6. 在身份提供方列表中，选择一个身份提供方。
7. 在用户名或群组别名字段中，输入用户名、电子邮件地址或别名。
8. 在角色列表中，选择要分配给用户或群组的角色，例如组织级组织查看者或项目级项目创建者。
9. 点击添加。

相应成员会显示在授权成员列表中。

gdcloud

1. 确保您已安装 gdcloud CLI。

2. 使用 gdcloud auth login 命令登录，以通过身份提供方进行身份验证。如需了解详情，请参阅 gdcloud CLI 身份验证。

3. 设置角色绑定。

   • 为组织设置角色绑定：

     gdcloud organizations add-iam-policy-binding ORGANIZATION \
       --member=USER_ACCOUNT \
       --role= ROLE
     

     执行以下变量替换操作：

     • ORGANIZATION：您要为其设置角色绑定的组织的名称。
     • USER_ACCOUNT：您要向其授予角色的用户账号。此标志接受带有身份提供方前缀 (user:idpprefix-user@example.com) 的用户电子邮件地址或带有服务账号项目 (serviceAccount:projectName:serviceAccountName) 的服务账号名称。
     • ROLE：您要向用户分配的预定义角色或自定义角色的名称。

   • 为项目设置角色绑定：

     gdcloud projects add-iam-policy-binding PROJECT \
       --member=USER_ACCOUNT \
       --role= ROLE
     

     执行以下变量替换操作：

     • PROJECT：您要为其设置角色绑定的项目的名称。
     • USER_ACCOUNT：您要向其授予角色的用户账号。此标志接受带有身份提供方前缀 (user:idpprefix-user@example.com) 的用户电子邮件地址或带有服务账号项目 (serviceAccount:projectName:serviceAccountName) 的服务账号名称。
     • ROLE：您要向用户分配的预定义角色或自定义角色的名称。

API

1. 导出您使用的用户凭据：

   export GLOBAL_API_SERVER_KUBECONFIG=GLOBAL_API_SERVER_KUBECONFIG
   

2. 导出要为其分配角色的用户账号，包括身份提供方前缀（例如 idpprefix-paul@example.com）：

   export USERNAME=IDP_PREFIX-USER_EMAIL
   

3. 导出用户需要的角色名称，例如 project-creator。请参阅角色定义，找到相应的角色。

   export ROLE_NAME=ROLE_NAME
   

4. 导出必须在其中创建绑定的命名空间：

   export BINDING_NAMESPACE=BINDING_NAMESPACE
   

   对于组织级角色，请将 BINDING_NAMESPACE 替换为 platform；对于项目级角色，请将 BINDING_NAMESPACE 替换为目标项目的命名空间的名称。

   如需查看角色及其范围的列表，请参阅角色定义。

5. 创建和应用 IAMRoleBinding 自定义资源：

   cat <<EOF | kubectl --kubeconfig ${GLOBAL_API_SERVER_KUBECONFIG} apply -f -
   apiVersion: iam.global.gdc.goog/v1
   kind: IAMRoleBinding
   metadata:
     name: ${USERNAME}-${ROLE_NAME}-binding
     namespace: ${BINDING_NAMESPACE}
   spec:
     roleRef:
       apiGroup: iam.global.gdc.goog
       kind: IAMRole
       name: ${ROLE_NAME}
     subjects:
     - apiGroup: rbac.authorization.k8s.io
       kind: User
       name: ${USERNAME}
   EOF
   

控制台

1. 登录 GDC 控制台。
2. 在导航菜单中，依次点击身份和访问权限 > 访问权限。
3. 在授权的成员列表中，选择一个成员。
4. 点击移除成员。
5. 出现提示时，点击移除成员进行确认。

gdcloud

1. 确保您已安装 gdcloud CLI。

2. 使用 gdcloud auth login 命令登录，以通过身份提供方进行身份验证。如需了解详情，请参阅 gdcloud CLI 身份验证。

3. 移除角色绑定。

   • 移除组织的角色绑定：

     gdcloud organizations remove-iam-policy-binding ORGANIZATION \
       --member=USER_ACCOUNT \
       --role= ROLE
     

     执行以下变量替换操作：

     • ORGANIZATION：要从中移除角色绑定的组织的名称。
     • USER_ACCOUNT：您要从中移除角色的用户账号。此标志接受带有身份提供方前缀 (user:idpprefix-user@example.com) 的用户电子邮件地址或带有服务账号项目 (serviceAccount:projectName:serviceAccountName) 的服务账号名称。
     • ROLE：您要从用户账号中移除的预定义角色或自定义角色的名称。

   • 移除项目的角色绑定：

     gdcloud projects remove-iam-policy-binding PROJECT \
       --member=USER_ACCOUNT \
       --role= ROLE
     

     执行以下变量替换操作：

     • PROJECT：您要从中移除角色绑定的项目的名称。
     • USER_ACCOUNT：您要从中移除角色的用户账号。此标志接受带有身份提供方前缀 (user:idpprefix-user@example.com) 的用户电子邮件地址或带有服务账号项目 (serviceAccount:projectName:serviceAccountName) 的服务账号名称。
     • ROLE：您要从用户账号中移除的预定义角色或自定义角色的名称。

API

删除 IAMRoleBinding 以撤消授予 PA 账号的权限：

kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG \
delete iamrolebinding USERNAME-ROLE_NAME-binding -n BINDING_NAMESPACE

替换以下内容：

• GLOBAL_API_SERVER_KUBECONFIG：用于访问全局 API 服务器的 kubeconfig 文件的路径。
• USERNAME：您要移除相应角色的用户账号，包括身份提供方前缀（例如 idpprefix-paul@example.com）。
• ROLE_NAME：要移除的角色的名称，例如 project-creator。
• BINDING_NAMESPACE：对于组织范围的角色，请替换为 platform；对于项目范围的角色，请替换为目标项目的命名空间名称。