我正在尝试将 Google Cloud 项目从我们的组织(组织 ID:ORG_ID_1)移动到客户的组织(组织 ID:ORG_ID_2),方法如下:
gcloud beta projects move PROJECT_ID --organization=ORG_ID_2
但我立即得到:
ERROR: (gcloud.beta.projects.move) [USER_EMAIL] does not have permission to access projects instance [PROJECT_ID] (or it may not exist): The caller does not have permission. This command is authenticated as USER_EMAIL which is the active account specified by the [core/account] property
然后我尝试只读检查来确认我确实看不到该项目:
gcloud projects describe PROJECT_ID
但它有效,我可以看到它。
在项目层面我有:
roles/editor
roles/owner
roles/resourcemanager.projectMover
在我的组织中允许导出到客户的组织
constraints/resourcemanager.allowedExportDestinations = under:organizations/ORG_ID_2
反之亦然。
我也是组织中的组织管理员和组织政策管理员。
问题
尽管项目中同时有项目所有者和项目移动者,并且没有组织策略阻止,但在第一次 gcloud 调用时我仍然会遭到权限拒绝。
哪些其他 IAM 或策略设置可能会阻止我查看或移动项目?
我如何进一步诊断为什么我的帐户无法访问 PROJECT_ID,甚至无法描述?
任何有关更深入故障排除的指示都将不胜感激!