在创建服务帐户和为其分配角色时遇到了一些麻烦。最初,我的代码基于这个示例,但是我无法让它工作,因为虽然它确实创建了服务帐户,但它没有为其分配角色。所以我在stackoverflow上环顾四周,发现这个答案确实有效。
下面粘贴的是负责创建不起作用的服务帐户的 Jinja 文件的内容。我期望它做的是创建一个服务帐户,然后为其分配 pubsub.editor 和 dataflow.developer 角色。
我不明白为什么下面的代码不起作用,所以我希望有人能解释它有什么问题。
{# Service account creation #}
resources:
- type: gcp-types/iam-v1:projects.serviceAccounts
name: {{ env['name'] }}
properties:
accountId: {{ env['name'] }}
displayName: serviceAccount-{{ env['name'] }}
accessControl:
gcpIamPolicy:
bindings:
- role: roles/dataflow.developer
members:
- "serviceAccount:myaccount-sa@myproject.iam.gserviceaccount.com"
- role: roles/pubsub.editor
members:
- "serviceAccount:myaccount-sa@myproject.iam.gserviceaccount.com"