GCP和ServiceAccount分层作用域

Question

在没有直接链接两个不同的文件夹中创建服务帐户时，我仍然对分层作用域感到困惑。或者更简单地说，如果我从组织根文件夹创建了两个不同的文件夹，那么在其中一个文件夹中分配给项目的服务帐户是否可以对另一个文件夹具有管理员访问权限？

非常感谢您的启发。

乔纳森。

Answer 1

身份(用户帐户、服务帐户、组、域)在组织级别、文件夹级别或项目级别(以及单个资源)进行分配。这些身份仅在分配给它们的级别上具有权限。这些权限在后续的子级继承。

例如，仅在项目内分配的身份对其他项目或更高级别(文件夹、组织)没有权限。

另一个示例是，在文件夹级分配的身份在该文件夹以及作为该文件夹的子文件夹的所有项目(包括其他子文件夹)上具有权限。

如果在顶层查看组织，在下一层查看文件夹，则在一个级别分配的身份仅具有对该资源及其子项的权限。权利/权限不是向上或横向继承的。