问GCP IAM访问被拒绝:来自另一个域的用户无法访问Org下的查询BQ

EN

我已经在一个经过验证的域名(company.tech)下建立了GCP组织，并启用了云标识以使用google项目。我是管理访问用户通过谷歌集团(通过管理面板)。我创建了一个包含来自(company.tech, service account, Gmail & company.co.xx)的用户的组，即允许在组织之外的成员，让我们调用组>> gcpusers@company.tech

以下是为该小组增加的IAM政策：

BigQuery Job User
BigQuery Metadata Viewer

此外，ACL访问被添加到数据集BigQuery Data Viewer中。

问题是，我能够从gmail, service account & company.tech域帐户进行查询，但company.co.xx下的用户(这不是云身份帐户，而是使用带有Office 365订阅的现有电子邮件注册的谷歌映射帐户)无法选择项目或查询，并最终得到以下错误&不能预览/查询bigquery数据集表。

Access Denied: Project <<>>: User does not have bigquery.jobs.create permission in project <<>>

​

​

我尝试了以下操作，但对于company.co.xx帐户仍然有相同的错误：

1. 添加了自定义规则，允许company.co.xx在受限联系人组织策略
2. 中在google面板中在Allowlisted domains下添加域(但不幸的是，正如这里所提到的，该域没有与云标识/gws链接，而是使用现有电子邮件注册帐户)

。