GCP和ServiceAccount层次结构范围

在没有直接链接的两个不同文件夹中创建服务帐户时,我仍然对层次结构范围感到困惑。或更简单地说,如果我从组织根文件夹创建了两个不同的文件夹,分配给其中一个文件夹中的项目的服务帐户是否可以对另一个文件夹具有管理员权限?

非常感谢您的启发。

乔纳森

评论
  • 俄对花儿笑
    俄对花儿笑 回复

    身份(用户帐户,服务帐户,组,域)在组织级别,文件夹级别或项目级别(以及单个资源)分配。这些身份仅在分配的级别具有权限。这些权利是在后续子级继承的。

    例如,仅在一个项目内分配的身份对其他项目或更高版本(文件夹,组织)没有权限。

    另一个示例,在“文件夹”级别分配的标识在该文件夹以及该文件夹的子项目中的所有项目(包括其他子文件夹)中都具有权限。

    如果您在顶部查看“组织”,在下一级查看“文件夹”,则在一个级别分配的身份仅具有该资源及其资源的子代的权限。权利/权限不被继承或横向继承。