问题标签 [google-cloud-iam]

在 Google Cloud Platform 'IAM & Admin' => 'Roles' 我创建了一个自定义角色，但我没有看到将角色限制为特定存储桶的方法。

我正在选择Storage Object Admin权限，但它似乎是全局适用于所有存储桶。如何将我创建的自定义角色限制为特定存储桶？

在阅读了类似的问题后，例如：

我正在使用 gcp 服务帐户，但是在调用对话流 api 时出现错误：

和

为什么 Google Cloud API 尝试以最终用户身份连接？

并应用建议的解决方案我仍然收到错误：

我的 pom.xml：

我的代码：

下面的示例演示了使用上面几行使用 python api 创建的密钥对谷歌服务帐户进行身份验证失败。

我找不到任何关于如何使用这些编程密钥的文档。

通过单击控制台 UI 创建的键工作正常。但是，对于我们的用例，我们需要使用编程方式创建密钥。

github 上也有未解决的问题：https ://github.com/googleapis/google-cloud-python/issues/7824

任何帮助表示赞赏。

我正在尝试以安全的方式使用 Google Cloud Services。我目前通过 putenv('GOOGLE_APPLICATION_CREDENTIALS= JSON 文件的路径');提供我的凭据。请参阅 https://cloud.google.com/docs/authentication/production

我想通过将我的代码放在共享主机/虚拟 Linux 服务器上来公开测试。但是，如果我将 JSON 文件的权限设置为安全，则无法访问它们。如果我公开，我需要包含的 JSON 文件有一个纯文本的私钥。

我已经进行了一个小时的搜索，但找不到我应该如何安全地提供凭据。

• 我应该将文件放在我的服务器上的安全位置吗？
• 生产网站是否可以将公共 URL 传递给 putenv？

已知问题：

安装 google-cloud-sdk（linux 包或来自 tarball）有一个怪癖，您无法在接受服务条款之前从命令行创建项目。

重现步骤：

1. 下载 sdk，解压缩，将文件夹移动到主目录并使用 install.sh 将 google sdk 根目录添加到 PATH
2. 初始化并登录： $ google init
3. 从 CL 创建一个项目： $ gcloud projects create --set-as-default

这将吐出一个错误，如：

错误：（gcloud.projects.create）操作[cp.5641973328385684887]失败：9：调用者必须接受服务条款

我猜测接受服务条款尚未内置到命令行初始化中。在安装过程中省略这样一个基本步骤应该是非法的，其后果从一千次按键死亡，到“建立一个操蛋的操作系统”......但这只是我......

我正在尝试为我的个人帐户获取 JWT，但此命令出错：

它抱怨我无法提供该--audiences选项，但我没有提供。根据他们的文档，我应该能够在登录到我的个人开发者帐户时使用此命令。

编辑：我正在使用 Google Cloud SDK 版本 254.0.0

更新：Google 刚刚发布了 gcloud 版本 255.0.0，该命令的工作方式与个人帐户所宣传的完全一样。

我有一个在 GKE 中运行的 node.js 应用程序，它需要能够对云函数进行服务器到服务器调用，该函数的权限配置为仅允许在 GKE pod 上配置的服务帐户调用它。所以基本上，node.js 有一个环境变量GOOGLE_APPLICATION_CREDENTIALS指向安装在卷上的凭证密钥 json 文件。

同样对于本地开发，如果它只使用存储在 gcloud sdk 配置中的我的用户帐户凭据，那就太好了。

我已经弄清楚如何使用服务帐户凭据进行身份验证。下面是代码，假设GOOGLE_APPLICATION_CREDENTIALS环境变量包含凭证密钥 json 文件的路径：

这种方式略有不同：

但是我仍然不确定如何在本地开发中使用用户帐户凭据来执行此操作。最接近的解决方案是使用cURL：

所以有一种方法，但我该如何在javascript中做到这一点？

我想知道是否有一种方法可以获取已添加用户的所有角色的列表，而不管角色应用于哪个资源？

例如roles/storage.admin，我可以获得存储桶中所有成员的列表，并且可以获得具有相同角色但在项目中的所有成员的列表：

但似乎没有一个命令可以告诉您用户已添加到哪些角色以及该角色应用于哪些资源。有谁知道这样做的方法？

我为 GCP 中的一个项目创建了一个 VPC 服务边界，并向其中添加了 Google Cloud Storage。

GCP 中是否有方法允许仅访问特定 VPC 中的虚拟机或资源（通过 gsutil 或任何其他方式）访问 Google Cloud Storage API？

如果我有三个 VPC（vpc-a、vpc-b和vpc-c），我只希望vpc-a中的实例访问 Cloud Storage 存储桶和 VPC 服务边界以拒绝访问来自vpc-b和vpc-的资源丙。

我的所有实例都是私有的（没有公共 IP 地址），并认为 VPC 和 VM 位于一个项目中（添加到 VPC 服务边界中）。如何实现上述设置？

正如文档指定的那样，我正在https://iap.googleapis.com/v1/projects/MY_PROJECT_ID/iap_web:getIamPolicy使用一个空的主体进行 POST。

API 响应是一个 HTTP 200，正文只是{"etag": "ACAB"}

这是什么意思？我应该做些什么来检索实际的政策数据？

IAP 和 IAP API 都为此项目启用。