如何阻止使用者創建 GCP 項目

在 GCP 中，任何使用者都可以創建項目。一個組織最終可能在其層次結構中有很多項目。

我們如何禁止所有使用者創建項目，只允許少數授權使用者這樣做？

權限是從頂部繼承的，在這種情況下是從組織繼承的：

預設情況下，在創建組織時，您的整個域都會在組織級別被授予 Project Creator 和 Billing Account Creator IAM 角色。這可確保您域中的使用者能夠像以前一樣繼續創建項目，並且不會發生中斷。

組織管理員將決定何時開始積極使用該組織。然後，他們可以更改預設權限並根據需要實施更多限制性策略。

在Using Resource Hierarchy for Access Control的最底部有一個寶石：

如果您想限制組織中的項目創建，請更改組織訪問策略以將項目創建者角色授予您管理的組。

具體來說，您要取消繼承的角色是roles/resourcemanager.projectCreator：

提供創建新項目的訪問權限。使用者創建項目後，會自動授予他們該項目的所有者角色。

引用自：https://serverfault.com/questions/882599