问理解多个项目之间的GCP IAM

EN

更改一个项目中的角色不会直接更改在另一个项目上设置的角色。但有些事你会想要考虑的。

虽然项目可以有自己的访问控制规则，但可以在更多的项目级别上进行管理访问。以下是您可以管理访问的四个资源点：

组织级。组织资源代表公司。在此级别授予的IAM角色由组织下的所有资源继承。文件夹级别。文件夹可以包含项目、其他文件夹或两者的组合。在最高文件夹级别授予的角色将由包含在该父文件夹中的项目或其他文件夹继承。项目级别。项目表示公司内部的信任边界。同一项目中的服务具有默认的信任级别。例如，App实例可以访问同一个项目中的云存储桶。在项目级别授予的IAM角色是由该项目中的资源继承的。资源级。除了现有的云存储和BigQuery ACL系统之外，其他资源(如基因组数据集、Pub/Sub主题和计算引擎实例)支持更低级别的角色，这样您就可以将特定的用户权限授予项目中的单个资源。

访问可以在个人级别，通过服务帐户，或通过组织范围和谷歌集团成员。这意味着，当您从组织或Google组中添加或删除某人时，您可能会无意中添加或删除他们在不同项目中的不同角色。

此外，如果一个成员(个人或组)被分配了一个角色，从而能够更改IAM角色，那么该成员组中的任何人都可以修改权限。他们可能会以你不想要的方式改变规则。

如果有疑问，请使用testPermissions验证角色是否按预期工作。

您在项目中设置的IAM角色不会影响其他项目。

Google资源是分层组织的，其中组织节点是层次结构中的根节点，项目是组织的子节点，其他资源是项目的后代。您可以在资源层次结构的不同级别上设置标识和访问管理(IAM)策略。资源继承父资源的策略。资源的有效策略是将该资源上的策略集与从其父资源继承的策略结合起来。

请检查以下文档，您将在其中找到访问控制的资源层次结构的一个很好的解释

我认为这个图表可以帮助您更好地理解IAM是如何工作的：

​