如何为 gcp 中的组提供权限(创建/查看)并启用相同的日志记录
Posted
技术标签:
【中文标题】如何为 gcp 中的组提供权限(创建/查看)并启用相同的日志记录【英文标题】:how to provide permission(create/view) to group in gcp and enable logging for the same 【发布时间】:2021-11-16 02:43:57 【问题描述】:如何提供权限->
组织管理员如何委派创建/查看权限(身份 访问管理)或访问谷歌云平台中的组??和 启用相同的日志记录?? 我们可以创建别名并授予其权限吗??找不到相关文件来解释要遵循的步骤。有人可以请教吗?我是 Google 平台的新手。
浏览了以下链接,这些链接并未准确提及组权限。
https://cloud.google.com/iam/docs/permissions-reference要了解审计日志,请浏览以下链接
https://cloud.google.com/iam/docs/audit-logging任何人都可以分享一些链接或指针以供我理解。
问候,
【问题讨论】:
【参考方案1】:Google Cloud 提供身份和访问管理 (IAM),让您可以更精细地访问特定的 Google Cloud 资源,并防止对其他资源进行不必要的访问。 IAM 允许您采用最小权限的安全原则,因此您只授予对资源的必要访问权限。
IAM 让您可以通过设置 IAM 政策来控制谁(用户)对哪些资源拥有什么访问权(角色)。 IAM 策略将特定角色授予用户,授予用户某些权限。
如果您想了解有关 IAM 的更多信息,请关注this link
更多关于登录Google IAM的信息
【讨论】:
【参考方案2】:我同意@Ismael Clemente Aguirre,但除此之外,您还可以查看Manage access to project,folders and organisation。
此外,Google 网上论坛可以帮助您大规模管理用户。 Google 群组的每个成员都会继承授予该群组的身份和访问管理 (IAM) 角色。这种继承意味着您可以使用组的成员身份来管理用户的角色,而不是将 IAM 角色授予单个用户。
要使用 Cloud Console 管理群组,您需要一个包含 resourcemanager.organizations.get 权限的角色。
要在遵循最小权限原则的同时获得此权限,请让您的管理员授予您组织查看者角色(roles/resourcemanager.organizationViewer)。
有关 IAM 中的组的更多信息,请参阅Managing groups in Cloud Console。
【讨论】:
谢谢!!我们可以查看组日志吗,根据谷歌文档,这是可能的,但我无法查看组级别的日志活动。任何人都可以分享用于相同的查询:) ?? Managing Groups in the Cloud Console 和 Access Control 请查看这些关于群组管理的链接。我的回答有帮助吗? 您好@SoundaryaG,如果您认为我的回答对您有所帮助,请考虑接受它(✔️)。我真的很感激。祝你有美好的一天,谢谢!以上是关于如何为 gcp 中的组提供权限(创建/查看)并启用相同的日志记录的主要内容,如果未能解决你的问题,请参考以下文章
如何为 Postgresql 中的所有数据库创建具有只读权限的用户?