问题标签 [google-cloud-iam]

如果托管服务提供商 (MSP) 想要监控与客户结算帐户相关联的客户现有 GCP 项目（意味着客户直接为此向 Google 付款），MSP 如何开始监控这些项目？使 MSP 开始监控客户项目的 IAM 策略是什么？

我目前正在使用 Web UI 来浏览其中一个存储桶中的文件，而我恰好也是项目所有者。但是我得到一个权限错误

您需要 storage.objects.list 权限才能列出此存储桶中的对象。请求项目或存储桶所有者授予您此权限，然后重试。

作为项目所有者，我完全被难住了。有任何想法吗？

我正在尝试构建可以对资源进行跨项目管理的rest API。基本上试图构建一个可以管理其他项目中资源的集中式应用程序。用于查看和管理其他项目资源的 Web 界面和 REST API。（CloudSQL、存储桶...）

我可以使用 Compute Engine 来实现这一点，方法是在管理项目中创建一个服务帐户，然后在其他项目中使用此服务帐户创建一个 IAM。如何使用 Google App Engine 实现这一目标？

我对 BigQuery 有疑问，我想知道你们中是否有人已经不得不为类似的事情而苦苦挣扎。

一个 gmail 地址意外地与基于公司电子邮件地址的 Google 帐户相关联，该地址成为我们正在使用的所有 Google 工具的管理员：Google Analytics、Adwords 等。

我们解决了它以管理员身份再次添加公司地址并删除对 gmail 地址的权限。

最后一个“修复”工具是 BigQuery。我们有很多通过 API 提取数据的工作。oauth 进程和历史作业此时显示的是 gmail 登录，而不是之前的登录。

如果我们删除辅助 (gmail) 帐户，作业是否会自动将原始地址作为 Oauth 进程的登录用户？还是我们必须修改所有脚本？工作经历会丢失吗？

问候。

我们可以运行“gcloud auth list”来获取我们的凭证帐户，现在我想在我的python代码中做同样的事情，即通过python中的API检查凭证帐户。但我没有很好......有什么建议吗？

更多信息是：我想在创建凭据之前检查我的帐户名

假设我有：

• 一个 Google Cloud Storage 存储桶bucketxyz和两个用户组：group1和group2；
• 额外的第三组allusers，包括group1和中的所有用户group2。

接着：

• 一个IAM策略bucketxyz授予对. _allusers _group1

还要考虑两个文件bucketxyz：file_shared.txt和file_resticted.txt这两个场景：

1. file_shared.txt可以由某人编写，group1但也可由用户访问group2-只需使用上述 IAM 策略即可。
2. file_restricted.txt只能由group1.

是否可以通过对in使用专用ACL 规则来实现场景 #2 ？如果是，如何？file_restricted.txtbucketxyz

我们计划使用 Big Query 和 Cloud Storage，但对通过 VPN/VPC 访问有疑问。

作为 Big Query，GCS 是托管服务，是否可以正确地假设无法将对项目级存储桶和数据集的访问限制为入站到 VPC 的连接。

据我们了解，这些服务针对 Google 的全球 API 基础设施进行身份验证，并且根据定义是公开的。

是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的基于公共/互联网的身份验证和授权？

我们如何为 Firebase 控制台用户设置一个角色，允许用户为分析数据创建渠道和受众（项目编辑角色），同时限制对 BigQuery 和 Cloud Storage 资源的访问？

我的用户可以通过多种方式在 Google Cloud Platform 项目中获得权限。直接角色和权限分配，充当服务帐户，不同的组成员。

那么给定一个 GCP 项目，我如何列出我的用户的活动权限？

我有一个 Google Cloud Compute Engine 实例，我在其中创建了一个新用户（通过adduser），以允许开发人员在该实例中工作。现在他具有 SSH 访问权限并且可以登录实例，但我希望他能够启动/停止实例，以便在他不处理实例时它不会运行，以防止在空闲时充电。理想情况下，他可以安装gcloud并只运行gcloud compute instances start/stop命令，但不能运行其他命令

我查看了 IAM 角色，似乎没有计算实例用户角色。是否可以授予外部用户这种能力？