如何为 gcp 中的组提供权限（创建/查看）并启用相同的日志记录

Posted 2023-03-26

【中文标题】如何为 gcp 中的组提供权限（创建/查看）并启用相同的日志记录

【英文标题】：how to provide permission(create/view) to group in gcp and enable logging for the same

【发布时间】：2021-11-16 02:43:57

【问题描述】：

如何提供权限->

组织管理员如何委派创建/查看权限（身份 访问管理）或访问谷歌云平台中的组？？和 启用相同的日志记录？？ 我们可以创建别名并授予其权限吗？？

找不到相关文件来解释要遵循的步骤。有人可以请教吗？我是 Google 平台的新手。

浏览了以下链接，这些链接并未准确提及组权限。

https://cloud.google.com/iam/docs/permissions-reference

要了解审计日志，请浏览以下链接

https://cloud.google.com/iam/docs/audit-logging

任何人都可以分享一些链接或指针以供我理解。

问候，

【参考方案1】：

Google Cloud 提供身份和访问管理 (IAM)，让您可以更精细地访问特定的 Google Cloud 资源，并防止对其他资源进行不必要的访问。 IAM 允许您采用最小权限的安全原则，因此您只授予对资源的必要访问权限。

IAM 让您可以通过设置 IAM 政策来控制谁（用户）对哪些资源拥有什么访问权（角色）。 IAM 策略将特定角色授予用户，授予用户某些权限。

如果您想了解有关 IAM 的更多信息，请关注this link

更多关于登录Google IAM的信息

【参考方案2】：

我同意@Ismael Clemente Aguirre，但除此之外，您还可以查看Manage access to project,folders and organisation。

此外，Google 网上论坛可以帮助您大规模管理用户。 Google 群组的每个成员都会继承授予该群组的身份和访问管理 (IAM) 角色。这种继承意味着您可以使用组的成员身份来管理用户的角色，而不是将 IAM 角色授予单个用户。

要使用 Cloud Console 管理群组，您需要一个包含 resourcemanager.organizations.get 权限的角色。

要在遵循最小权限原则的同时获得此权限，请让您的管理员授予您组织查看者角色(roles/resourcemanager.organizationViewer)。

有关 IAM 中的组的更多信息，请参阅Managing groups in Cloud Console。

【讨论】：

谢谢！！我们可以查看组日志吗，根据谷歌文档，这是可能的，但我无法查看组级别的日志活动。任何人都可以分享用于相同的查询:) ??

Managing Groups in the Cloud Console 和 Access Control 请查看这些关于群组管理的链接。我的回答有帮助吗？

您好@SoundaryaG，如果您认为我的回答对您有所帮助，请考虑接受它（✔️）。我真的很感激。祝你有美好的一天，谢谢！