【发布时间】:2021-12-02 18:37:15
【问题描述】:
我在经过验证的域名 (company.tech) 下设置了 GCP 组织,并启用了云身份以使用谷歌云项目。我正在通过谷歌群组(通过管理面板)管理对用户的访问。我创建了一个包含来自 (company.tech, service account, Gmail & company.co.xx) 的用户的组,即允许组织外部的成员,让我们调用该组>>gcpusers@company.tech
以下是为组添加的 IAM 策略:
BigQuery Job User
BigQuery Metadata Viewer
此外,ACL 访问权限已添加到数据集 BigQuery Data Viewer
问题是,我可以从 gmail, service account & company.tech 域帐户查询,但 company.co.xx 下的用户(这不是云身份帐户,而是使用 Office 365 订阅的现有电子邮件注册的谷歌映射帐户) 既不能选择项目也不能查询,最终会出现以下错误,并且无法预览/查询 bigquery 数据集表。
Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>
我尝试了以下操作,但对于 company.co.xx 帐户,我仍然收到相同的错误:
- 添加了自定义规则以在域受限联系人组织策略下允许 company.co.xx
- 在 Google 管理面板中的
Allowlisted domains下添加了域(但不幸的是,如上所述,域未与云身份/gws 关联,而是使用现有电子邮件注册帐户)
【问题讨论】:
-
您是否尝试过创建服务帐户并在其下添加“company.co.xx”用户?
-
现在它适用于 company.co.xx 下的用户 - 我所做的只是将用户从组中删除并再次添加(可能我在他们使用现有电子邮件注册之前添加了电子邮件)>谷歌工程师正在通过支持帮助我解决这个问题。谢谢大家!
标签: google-cloud-platform google-bigquery google-iam google-cloud-identity