Propagazione della modifica di accesso

In IAM, le modifiche di accesso, come la concessione di un ruolo o il rifiuto di un'autorizzazione, sono coerenti in un secondo momento. Ciò significa che le modifiche alle autorizzazioni nel sistema richiedono tempo. Nel frattempo, le modifiche di accesso recenti potrebbero non essere efficaci ovunque. Ad esempio, le entità potrebbero essere ancora in grado di utilizzare un ruolo revocato di recente o un'autorizzazione negata di recente. In alternativa, potrebbe non essere in grado di utilizzare un ruolo concesso di recente o un'autorizzazione di cui fino a poco tempo fa non poteva usufruire.

Il tempo necessario per la propagazione di una modifica dell'accesso dipende dal modo in cui apporti la modifica:

Metodo Esempi Tempo di propagazione

Modificare un criterio

Modifica l'accesso di un'entità modificando un criterio di autorizzazione o di negazione.

Quando apporti modifiche ai criteri, non puoi superare i limiti relativi al numero di principali consentiti in un criterio.

  • Modifica il criterio di autorizzazione della tua organizzazione per concedere a un principale il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).
  • Modifichi un criterio di rifiuto a livello di organizzazione per negare a un'entità l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.
In genere 2 minuti, potenzialmente 7 minuti o più

Modificare l'appartenenza a un gruppo

Modifica l'accesso di un'entità aggiungendola o rimuovendola da un gruppo Google incluso in un criterio di autorizzazione o di negazione.

  • Hai un gruppo, org-admins@example.com, a cui è stato concesso il ruolo Amministratore organizzazione nella tua organizzazione. Aggiungi un'entità al gruppo per assegnarle il ruolo Amministratore organizzazione.
  • A un gruppo, eng@example.com, è stata negata l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy a livello di organizzazione. Aggiungi un entità al gruppo per negargli l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.
In genere alcuni minuti, potenzialmente ore o più

Modificare l'appartenenza a un gruppo nidificato

Modifica l'accesso di un principale aggiungendolo o rimuovendolo da un gruppo nidificato il cui gruppo principale è incluso in un criterio di autorizzazione o diniego.

  • Hai un gruppo, admins@example.com, a cui è stato concesso il ruolo visualizzatore dei tag (roles/resourcemanager.tagViewer) per la tua organizzazione. L'appartenenza a questo gruppo è composta da diversi altri gruppi, tra cui org-admins@example.com. Aggiungi un account utente al gruppo org-admins@example.com per assegnargli il ruolo Visualizzatore tag.
  • A un gruppo, eng@example.com, è stata negata l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy a livello di organizzazione. L'appartenenza a questo gruppo è composta da una serie di altri gruppi, tra cui eng-prod@example.com. Aggiungi un'entità al gruppo eng-prod@example.com per negare l'autorizzazione cloudresourcemanager.googleapis.com/projects.setIamPolicy.
In genere alcuni minuti, potenzialmente ore o più

Tieni inoltre presente i seguenti dettagli su come vengono propagate le modifiche all'appartenenza al gruppo:

  • In generale, l'aggiunta di un'entità a un gruppo avviene più rapidamente della rimozione di un'entità da un gruppo.
  • In generale, le modifiche all'appartenenza ai gruppi si propagano più velocemente rispetto alle modifiche all'appartenenza ai gruppi nidificati.

Puoi utilizzare queste stime del tempo di propagazione per modificare il modo in cui modifichi l'accesso dei principali.