Estou tentando mover um projeto do Google Cloud da nossa organização (ID da organização: ORG_ID_1) para a organização do cliente (ID da organização: ORG_ID_2) com:
gcloud beta projects move PROJECT_ID --organization=ORG_ID_2
mas eu imediatamente entendo:
ERROR: (gcloud.beta.projects.move) [USER_EMAIL] does not have permission to access projects instance [PROJECT_ID] (or it may not exist): The caller does not have permission. This command is authenticated as USER_EMAIL which is the active account specified by the [core/account] property
Em seguida, tentei a verificação somente leitura para confirmar que realmente não consigo nem ver o projeto:
gcloud projects describe PROJECT_ID
Mas funciona, eu posso ver.
No nível de projeto eu tenho:
roles/editor
roles/owner
roles/resourcemanager.projectMover
Na minha organização a exportação é permitida para a organização do cliente
constraints/resourcemanager.allowedExportDestinations = under:organizations/ORG_ID_2
e vice-versa.
Também sou administrador da organização e administrador de políticas da organização na minha organização.
Pergunta
Apesar de ter o Proprietário do Projeto e o Movedor do Projeto no projeto, e nenhum bloqueio de org-policy, ainda recebo uma permissão negada na primeira chamada do gcloud.
Quais outras configurações de IAM ou política podem me impedir de ver ou mover o projeto?
Como posso diagnosticar melhor por que minha conta não consegue acessar PROJECT_ID, mesmo para descrever?
Qualquer dica para uma solução de problemas mais profunda seria muito apreciada!
Pode ser que você não tenha o criador do projeto na organização de destino. A lista de verificação a seguir deve ajudar
https://cloud.google.com/resource-manager/docs/project-migration-checklist