1

我在经过验证的域名 ( company.tech) 下设置了 GCP 组织,并启用了云身份以使用谷歌云项目。我正在通过谷歌群组(通过管理面板)管理对用户的访问。我创建了一个包含来自 ( company.tech, service account, Gmail & company.co.xx) 的用户的组,即允许组织外部的成员,让我们调用该组 >>gcpusers@company.tech

以下是为该组添加的 IAM 策略:

BigQuery Job User
BigQuery Metadata Viewer

此外,ACL 访问被添加到数据集BigQuery Data Viewer

问题是,我可以从gmail, service account & company.tech域帐户中查询,但 company.co.xx 下的用户(这不是云身份帐户,而是使用 Office 365 订阅的现有电子邮件注册的谷歌映射帐户)既不能选择项目也不能选择查询并最终收到以下错误并且无法预览/查询 bigquery 数据集表。

Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>

在此处输入图像描述

我尝试了以下操作,但对于 company.co.xx 帐户,我仍然遇到相同的错误:

  1. 添加了自定义规则以在域受限联系人组织策略下允许 company.co.xx
  2. 在 google 管理面板中添加了域Allowlisted domains(但不幸的是,如前所述,域未与云身份/gws 链接,而是使用现有电子邮件注册帐户)
4

1 回答 1

0

Google Groups 独立于 Google Cloud IAM 进行管理 - 它们是独立的服务。您可以向 Google 网上论坛添加不受 Google Cloud IAM 支持的身份。就你而言,这就是你所做的。如果您想在 Google Cloud 中使用 Microsoft 身份,则需要设置与 Active Directory 的联合。

于 2021-10-14T15:04:29.310 回答