在 IAM 中,访问权限更改(例如授予角色或拒绝权限)是最终一致的。这意味着通过系统更改访问权限需要一些时间。在此期间,最近的访问权限更改可能不会在所有位置都生效。例如,主帐号可能仍然可以使用最近撤消的角色或最近拒绝的权限。或者,他们可能无法使用最近授予的角色或直到最近才被拒绝使用的权限。
访问权限更改传播所需的时间取决于您进行访问权限更改的方式:
方法 | 示例 | 传播时间 |
---|---|---|
更改政策 通过修改允许或拒绝政策更改主帐号的访问权限。 更改政策时,您无法超出政策中允许的主帐号数量限制。 |
|
通常为 2 分钟,可能为 7 分钟或更长时间 |
更改群组的成员资格 如需更改主帐号的访问权限,您可以向允许或拒绝政策中包含的 Google 群组添加主帐号或者从中移除主帐号。 |
|
通常几分钟,可能几小时或更长时间 |
更改嵌套群组的成员资格 通过在父级群组包含在允许或拒绝政策中的嵌套群组中添加主帐号或者从中移除主帐号来更改主帐号的访问权限。 |
|
通常几分钟,可能几小时或更长时间 |
另请注意以下有关群组成员资格更改传播方式的详细信息:
- 通常,向群组添加主帐号比从群组中移除主帐号传播得更快。
- 通常,群组成员资格更改的传播速度快于嵌套群组成员资格的更改。
您可以使用这些传播时间估算值来告知修改主帐号的访问权限的方式。