Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In IAM sind Zugriffsänderungen, z. B. das Zuweisen einer Rolle oder das Ablehnen einer Berechtigung, letztendlich konsistent. Das bedeutet, dass es einige Zeit dauert, bis Zugriffsänderungen im System wirksam werden. In der Zwischenzeit sind kürzlich vorgenommene Zugriffsänderungen möglicherweise nicht immer wirksam. Hauptkonten können beispielsweise weiterhin eine kürzlich widerrufene Rolle oder eine kürzlich abgelehnte Berechtigung verwenden. Alternativ können sie eine kürzlich gewährte Rolle oder Berechtigung möglicherweise erst verwenden, wenn sie zuvor abgelehnt wurde.
Wie lange es dauert, bis eine Zugriffsänderung wirksam wird, hängt davon ab, wie Sie die Zugriffsänderung vornehmen:
Methode
Beispiele
Weitergabezeit
Richtlinie ändern
Ändern Sie den Zugriff eines Hauptkontos, indem Sie eine Zulassung- oder Ablehnungsrichtlinie bearbeiten.
Sie bearbeiten die Zulassungsrichtlinie Ihrer Organisation, um einem Hauptkonto die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) zuzuweisen.
Sie bearbeiten eine Ablehnungsrichtlinie auf Organisationsebene, um einem Hauptkonto die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Sie können den Zugriff eines Hauptkontos ändern, indem Sie es einer Google-Gruppe hinzufügen oder daraus entfernen, die in einer Richtlinie zum Zulassen oder Ablehnen enthalten ist.
Sie haben die Gruppe org-admins@example.com, der die Rolle "Organisationsadministrator" in Ihrer Organisation zugewiesen ist. Sie fügen der Gruppe ein Hauptkonto hinzu, um ihm die Rolle "Organisationsadministrator" zuzuweisen.
Sie haben die Gruppe eng@example.com, der die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy auf Organisationsebene verweigert wurde. Sie fügen der Gruppe ein Hauptkonto hinzu, um ihnen die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Normalerweise mehrere Minuten, möglicherweise Stunden oder länger
Mitgliedschaft einer verschachtelten Gruppe ändern
Ändern Sie den Zugriff eines Hauptkontos und fügen Sie es zu einer verschachtelten Gruppe hinzu, die in einer Zulassungs- oder Ablehnungsrichtlinie enthalten ist.
Sie haben die Gruppe admins@example.com, der die Rolle "Tag-Betrachter" (roles/resourcemanager.tagViewer) in Ihrer Organisation zugewiesen ist. Die Mitgliedschaft in dieser Gruppe besteht aus mehreren anderen Gruppen, darunter org-admins@example.com. Sie fügen der Gruppe org-admins@example.com ein Hauptkonto hinzu, um ihm die Rolle "Tag-Betrachter" zuzuweisen.
Sie haben die Gruppe eng@example.com, der die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy auf Organisationsebene verweigert wurde. Die Mitgliedschaft in dieser Gruppe besteht aus mehreren anderen Gruppen, darunter eng-prod@example.com. Sie fügen der Gruppe eng-prod@example.com ein Hauptkonto hinzu, um ihnen die Berechtigung cloudresourcemanager.googleapis.com/projects.setIamPolicy zu verweigern.
Normalerweise mehrere Minuten, möglicherweise Stunden oder länger
Beachten Sie außerdem die folgenden Details für die Weitergabe von Gruppenmitgliedschaften:
Im Allgemeinen wird das Hinzufügen eines Hauptkontos zu einer Gruppe schneller übernommen als das Entfernen eines Hauptkontos aus einer Gruppe.
Im Allgemeinen werden Änderungen der Gruppenmitgliedschaft schneller übernommen als Änderungen der verschachtelten Gruppenmitgliedschaft.
Sie können diese Verteilungszeitschätzungen verwenden, um zu bestimmen, wie Sie den Zugriff Ihrer Hauptkonten ändern.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-04-01 (UTC)."],[[["IAM access changes, such as granting or denying permissions, are eventually consistent, meaning they don't take effect immediately across the entire system."],["The time it takes for access changes to propagate varies depending on the method used, with policy changes typically taking around 2 minutes, potentially longer, and group membership changes taking several minutes to potentially hours."],["Changing a principal's access through group membership changes typically propagates faster than changes made via nested group memberships."],["Adding a principal to a group generally results in faster propagation of access changes than removing a principal from a group."]]],[]]
