存取權變更傳播
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
在 IAM 中,存取權變更 (例如授予角色或拒絕權限) 最終會保持一致。也就是說,存取權變更需要一段時間才會全面套用到系統。在此期間,最近的存取權變更可能不會在所有地方生效。舉例來說,主體可能仍可使用最近撤銷的角色或最近遭拒的權限。或者,他們可能無法使用最近授予的角色,或最近才獲准使用的權限。
存取權變更的傳播時間取決於變更方式:
| 方法 |
範例 |
傳播時間 |
|
變更政策
編輯允許或拒絕政策,即可變更主體的存取權。
變更政策時,不得超過政策允許的主體數量上限。
|
-
編輯機構的允許政策,將機構管理員角色 (
roles/resourcemanager.organizationAdmin) 授予主體。
-
編輯機構層級的拒絕政策,拒絕主體存取
cloudresourcemanager.googleapis.com/projects.setIamPolicy 權限。
|
通常為 2 分鐘,可能需要 7 分鐘以上
|
|
變更群組成員
如要變更主體的存取權,請在允許或拒絕政策中加入或移除 Google 群組,藉此變更主體的存取權。
|
-
您有一個群組 (
org-admins@example.com) 獲得機構的「機構管理員」角色。將主體新增至群組,授予對方機構管理員角色。
-
您有一個群組 (
eng@example.com),在機構層級遭到拒絕 cloudresourcemanager.googleapis.com/projects.setIamPolicy 權限。將主體新增至群組,拒絕授予 cloudresourcemanager.googleapis.com/projects.setIamPolicy 權限。
|
通常需要幾分鐘,但可能需要數小時或更久 |
|
變更巢狀群組的成員資格
如要變更主體的存取權,請將主體新增至巢狀群組,或從巢狀群組中移除主體。巢狀群組的上層群組必須包含在允許或拒絕政策中。
|
-
您有一個群組 (
admins@example.com),已獲授予機構的代碼檢視者角色 (roles/resourcemanager.tagViewer)。這個群組的成員資格由多個其他群組組成,包括 org-admins@example.com。將主體新增至 org-admins@example.com 群組,即可授予主體「標記檢視者」角色。
-
您有一個群組 (
eng@example.com),在機構層級遭到拒絕 cloudresourcemanager.googleapis.com/projects.setIamPolicy 權限。這個群組的成員包括多個其他群組,例如eng-prod@example.com。將主體新增至 eng-prod@example.com 群組,即可拒絕授予 cloudresourcemanager.googleapis.com/projects.setIamPolicy 權限。
|
通常需要幾分鐘,但可能需要數小時或更久 |
此外,請注意群組成員變更的傳播方式:
- 一般來說,將主體新增至群組的傳播速度,會比從群組中移除主體更快。
- 一般而言,群組成員資格變更的傳播速度比巢狀群組成員資格變更更快。
您可以根據這些預估傳播時間,調整主體的存取權。
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-09-11 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-09-11 (世界標準時間)。"],[],[],null,[]]
