我在经过验证的域名 ( company.tech
) 下设置了 GCP 组织,并启用了云身份以使用谷歌云项目。我正在通过谷歌群组(通过管理面板)管理对用户的访问。我创建了一个包含来自 ( company.tech, service account, Gmail & company.co.xx
) 的用户的组,即允许组织外部的成员,让我们调用该组 >>gcpusers@company.tech
以下是为该组添加的 IAM 策略:
BigQuery Job User
BigQuery Metadata Viewer
此外,ACL 访问被添加到数据集BigQuery Data Viewer
问题是,我可以从gmail, service account & company.tech
域帐户中查询,但 company.co.xx 下的用户(这不是云身份帐户,而是使用 Office 365 订阅的现有电子邮件注册的谷歌映射帐户)既不能选择项目也不能选择查询并最终收到以下错误并且无法预览/查询 bigquery 数据集表。
Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>
我尝试了以下操作,但对于 company.co.xx 帐户,我仍然遇到相同的错误:
- 添加了自定义规则以在域受限联系人组织策略下允许 company.co.xx
- 在 google 管理面板中添加了域
Allowlisted domains
(但不幸的是,如前所述,域未与云身份/gws 链接,而是使用现有电子邮件注册帐户)