Asd*_*dfg 2 google-cloud-platform google-iam
根据其中说的文件
子策略不能限制更高级别授予的访问权限。例如,如果您将授予项目用户的编辑者角色,并授予子资源的同一用户的查看者角色,则该用户仍然具有子资源的编辑者角色授予。
这是否还意味着如果我在较高级别上分配用户限制性访问权限,但在资源级别上分配更多许可权限,那么该用户将拥有更多许可权限?换句话说,无论在哪个级别授予更宽松的策略,更宽松的策略都会覆盖限制性策略?
为项目授予UserA查看者角色,但在资源级别分配Editor角色,UserA将拥有对资源的编辑级别访问权限吗?
这是否还意味着如果我在较高级别上分配用户限制性访问权限,但在资源级别上分配更多许可权限,那么该用户将拥有更多许可权限?
是。
换句话说,无论在哪个级别授予更宽松的策略,更宽松的策略都会覆盖限制性策略?
不要以为它具有压倒一切。当您授予其他特权时,请考虑一下。
为项目授予UserA查看者角色,但在资源级别分配Editor角色,UserA将拥有对资源的编辑级别访问权限吗?
正确的,UserA将具有该资源的编辑器级别。
考虑层次结构为组织/文件夹/项目/资源。如果您具有较高级别的权限,则至少具有这些较低级别的权限。这类似于公司的组织。如果您是部门(项目)的副总裁,那么您仍然是该部门下每个小组(资源)的副总裁。反之亦然。您是组织的团队成员(项目查看器),但您是一个组的经理(计算资源编辑器),而只是其他资源的项目查看器。
| 归档时间: |
|
| 查看次数: |
500 次 |
| 最近记录: |