我想列出各种资源的 IAM 策略或访问级别。我遵循了文档,并且能够列出项目。有各种各样的资源,但我对此有些困惑。
- 所有其他资源都在项目内吗? (基本上我对链条感到困惑)
- 如果某人有权访问项目(读/写/其他任何内容),那么他们可以访问项目内的资源吗?
- 如果其他资源是独立的,那么如何列出它们的 IAM 政策? (对于每个单独的资源)
我正在使用 GCP Oauth2 API,如果有人至少回答上述问题,我将非常感激。
最佳答案
所有其他资源都在项目内部吗?
是的,
对于特定项目,您可以使用搜索所有资源跨服务(或 API)和项目搜索所有资源。 要使用数字 123 搜索项目中的每个资源:
$ gcloud asset search-all-resources --scope=projects/123
如果某人有权访问项目(读/写/其他任何内容),那么他们可以访问项目内的资源吗?
上述命令的结果是该项目中的资源。如果您的用户在项目中具有所有者角色,则该用户可以管理项目以及项目内所有资源的角色和权限。如果用户具有查看者角色,则该用户有权执行不影响状态的只读操作,例如查看(但不能修改)现有资源或数据。
有些资源还具有单独的权限,用户可以拥有项目级别以外的权限,即对特定资源的个人权限,通过使用它们可以限制用户访问项目,但用户可以访问特定资源。
在这里您可以找到Access control for projects with IAM .
如果其他资源是独立的,那么如何列出它们的 IAM 策略? (对于每个单独的资源)
Google 为项目中的每个资源提供了预定义角色,您可以通过搜索此 doc 中的资源来筛选出特定资源。 ,这些是预定义的角色,可以将用户分配给特定资源。
您可以在此 doc 中找到更多信息.
关于google-cloud-platform - 了解各种资源的 GCP IAM 政策,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/74779643/