В GCP любой пользователь может создать проект. В иерархии организации может оказаться много проектов.
Как запретить всем пользователям создавать проекты и позволить только нескольким авторизованным пользователям?
Разрешения есть унаследованный сверху, в данном случае из организация:
По умолчанию при создании организации всему вашему домену предоставляются роли IAM «Создатель проекта» и «Создатель платежной учетной записи» на уровне организации. Это гарантирует, что пользователи в вашем домене смогут продолжать создавать проекты, как и раньше, и никаких сбоев не произойдет.
Администратор организации решит, когда они хотят начать активное использование организации. Затем они могут изменить разрешения по умолчанию и при необходимости применить более строгие политики.
В Использование иерархии ресурсов для контроля доступа в самом низу есть жемчужина:
Если вы хотите ограничить создание проектов в своей организации, измените Политика доступа к организации предоставить Роль создателя проекта группе, которой вы управляете.
В частности, роль, которую вы хотите лишить наследства, - это роли / resourcemanager.projectCreator:
Предоставляет доступ для создания новых проектов. После того, как пользователь создает проект, ему автоматически предоставляется роль владельца этого проекта.