如问题所述。我知道在 GCP 云身份 API 和 CLI 工具中,我可以使用以下命令提取组成员列表。
gcloud identity groups memberships list --project=mygcpproject
--group-email="principal@mycompany.com" --format=csv(preferredMemberKey)
对于某些组,我得到返回结果。对于其他人,它说该组不存在。它真正的意思是我无权看到该组的内部。因为我知道该组存在的事实,所以当我运行命令以显示项目中的所有主体时,我可以看到它:
gcloud projects get-iam-policy mygcpproject
问题是我要求哪些特定的 IAM 或组策略有权查看我的组织内的所有组。所有 GCP 示例都假定您对所有内容都拥有管理员权限,而在任何地方都没有指定使用特定命令所需的最低权限的真实文档。
我自己的 IAM 团队说我们不知道你需要什么,这是一个谷歌小组的事情,弄清楚并提出要求,然后我们可以研究并授予。由于组成员身份与 IAM 委托人有些不同,但一个组可以充当委托人,所以我有点卡住了。