Назад | Перейти на главную страницу

Как запретить пользователю создавать проект GCP

В GCP любой пользователь может создать проект. В иерархии организации может оказаться много проектов.

Как запретить всем пользователям создавать проекты и позволить только нескольким авторизованным пользователям?

Разрешения есть унаследованный сверху, в данном случае из организация:

По умолчанию при создании организации всему вашему домену предоставляются роли IAM «Создатель проекта» и «Создатель платежной учетной записи» на уровне организации. Это гарантирует, что пользователи в вашем домене смогут продолжать создавать проекты, как и раньше, и никаких сбоев не произойдет.

Администратор организации решит, когда они хотят начать активное использование организации. Затем они могут изменить разрешения по умолчанию и при необходимости применить более строгие политики.

В Использование иерархии ресурсов для контроля доступа в самом низу есть жемчужина:

Если вы хотите ограничить создание проектов в своей организации, измените Политика доступа к организации предоставить Роль создателя проекта группе, которой вы управляете.

В частности, роль, которую вы хотите лишить наследства, - это роли / resourcemanager.projectCreator:

Предоставляет доступ для создания новых проектов. После того, как пользователь создает проект, ему автоматически предоставляется роль владельца этого проекта.