1

10:54的这段视频中,谷歌代表说:

在这里,我们想提出这个提示 - 非常重要的提示 - 默认情况下,[我们] 在您的组织中为其中的每个人保留“结算帐户创建者角色”。我们强烈建议您删除它。关闭它。

在3:20的这段视频中,一位 Google 代表说:

我们建议每个组织都使用一个计费帐户,并确保只有管理员才能创建新的计费帐户。您可以通过从您的组织中删除 Billing Account Creator 角色来做到这一点。

你是怎么做到的?

我尝试激活Organizational Policy Constraint,但没有提及计费帐户限制。

我尝试从 IAM 角色中禁用/删除角色,但无法删除预定义角色。

最后,我查看了Billing AccessIAM Permissions Reference的文档,看起来某人拥有创建权限的唯一方法是通过“Billing Account Creator”角色(可能还有“Owner”?)不授予这个角色给任何人,或者有没有办法积极地将这个权限列入黑名单?

4

1 回答 1

0

您的组织资源是在打开两个默认角色的情况下建立的:

  • 项目创建者
  • 结算帐户创建者

这两个角色允许客户立即向所有用户开放 GCP 服务。可以通过删除默认的组织级别 IAM 条目来控制项目创建和维护集中计费。

从组织节点中删除默认角色

这是过程的可视化表示

在此处输入图像描述

于 2020-10-07T13:10:40.520 回答