GCP組織で「ドメインで制限された共有」(iam.allowedPolicyMemberDomains) が組織レベルで有効です。あるプロジェクトの Cloud Run を一般公開(allUsers に roles/run.invoker)したいのですが、組織ポリシーで弾かれます(FAILED_PRECONDITION ... organization policy)。
調べたところ:
上書きには roles/orgpolicy.policyAdmin が必要だが、プロジェクトには付与できず(not supported for this resource)、組織レベルのみ。
組織管理者(Organization Administrator)が誰にも割り当てられていない(新規組織)。プロジェクトのオーナーも閲覧者も、組織IAMで「権限なし」。Workspace特権管理者アカウントはあります。
質問:
この組織ポリシー下で、この1サービスだけ allUsers 公開する最小権限のやり方は?
Workspace特権管理者は、どう組織アクセスを立ち上げ、プロジェクト単位でこの制約を上書きすべき?
「組織レベルで orgpolicy.policyAdmin 付与 → プロジェクトの上書き設定 → ロールを外す」が定石でしょうか。オーナーに広い権限を恒久的に残したくありません。