如何使用自定义角色列出 GCP 组织内的所有项目答案

【问题标题】：How to list all projects inside GCP organization using Custom Role如何使用自定义角色列出 GCP 组织内的所有项目
【发布时间】：2022-01-09 00:41:36
【问题描述】：

我正在尝试使用 IAM 自定义角色列出我在组织下的所有 GCP 项目并分配它到我的新服务帐户。

您能否告诉我应该为该角色添加哪些权限才能进行细粒度访问？

我也不想使用这些默认权限：

角色/查看者
角色/编辑
角色/所有者

【问题讨论】：

给resourcemanager.projects.list 和resourcemanager.projects.get 权限怎么样？ Check this insight
不幸的是，这是我尝试的第一个想法，但没有成功。经所有者许可，它可以工作，但这对我不利。
您还需要folder.list 和folder.get 以及我之前提到的两个。你可能想试试这个角色：roles/browser也
成功了！使用resourcemanager.folders.get/resourcemanager.folders.list/resourcemanager.projects.get/resourcemanager.projects.list 修改新设置可能需要一些时间。
@vdolez 您能否用 cmets 中给出的解决方案发布答案？

标签： google-cloud-platform

【解决方案1】：

根据Google's documentation about access control for projects：

创建与资源管理器一起使用的自定义角色时，请注意以下几点：

列表和获取权限（例如 resourcemanager.projects.get/list）应始终成对授予。

当您的自定义角色包含folders.list 和folders.get 权限时，它还应该包含projects.list 和projects.get。

因此，为了能够列出组织的每个项目，您需要为您的自定义角色提供以下权限：

resourcemanager.projects.get
resourcemanager.projects.list
resourcemanager.folders.get
resourcemanager.folders.list

另外，请注意，预定义角色 roles/browser 重新组合了此范围的大部分内容，但不会过于宽容。

向用户或服务帐户授予新权限不一定是立即的，可能需要长达 5/10 分钟才能传播。

【讨论】：