#google-cloud-platform #google-iam
#google-cloud-platform #google-iam
Вопрос:
Я пытаюсь проверить разрешения, доступные нашим сотрудникам в GCP.
Для этого я пытаюсь использовать gcloud policy-troubleshooter или консольную версию GCP same.
Я обнаружил, что я не могу видеть назначения ролей, привязанные к группам. В командной строке ответ содержит ошибку типа MEMBERSHIP_UNKNOWN_INFO_DENIED ; веб-версия менее кричащая: «Вы не знаете, входит ли участник в эту группу или нет, потому что у вас нет разрешения на просмотр членства в группе».
Я являюсь владельцем рассматриваемой группы, поэтому мне непонятно, почему у меня нет разрешений. Я вижу членство в группах на панели IAM Groups. Я также не могу определить, какого разрешения мне не хватает; нет записи в журнале аудита, запрещающей доступ.
Как я могу получить доступ для просмотра этих разрешений?
Комментарии:
1. Перейдите по этой ссылке и ознакомьтесь с разделом ролей IAM. Вы также можете посмотреть это видео . Пожалуйста, сообщите мне, какие роли и разрешения у вас есть?
Ответ №1:
После прочтения документации я заметил, что существует известное ограничение [1], которое объясняет, что средство устранения неполадок политики не всегда может полностью объяснить доступ к ресурсу. Если у вас нет доступа к политике, которая применяется к ресурсу, средство устранения неполадок политики не будет ее анализировать. Поэтому рекомендуется убедиться, что вам предоставлена роль Security Reviewer (роли / iam.securityReviewer). Это гарантирует, что вы сможете прочитать все применимые политики облачного IAM.
[1] https://cloud.google.com/iam/docs/troubleshooting-access#limitations
Комментарии:
1. Оказывается, членство в группах не распространяется (AFAICT) ни на одно разрешение IAM. Вам должно быть предоставлено разрешение group.read в GSuite.