问题标签 [google-cloud-iam]

从 Cloud Functions 执行任何 Google Cloud Storage 操作时出现错误。我不断收到错误[project-id]@appspot.gserviceaccount.com does not have storage.buckets.get。我给了服务管理员不同的角色，包括，editor但似乎不起作用。storage adminstorage object admin

下面是测试功能。

在错误地将自己添加到错误的角色后，我不再能够访问“IAM & admin”。

在尝试将 Big Query 表提取到 Google Storage 时，我收到以下错误，

bq extract --compression GZIP Dataset.TableName gs://tableName_*.csv.gz
Waiting on bqjob_r4250d44ecf982a22_00000169c666b451_1 ... (23s) Current status: DONE
BigQuery error in extract operation: Error processing job 'Dataset:bqjob_r4250d44ecf982a22_00000169c6666 BigQuery BigQuery：写入数据时权限被拒绝。

我认为我可能有权限问题，因此我更改了我在 Google Cloud 中的角色。我不记得我换了什么角色。它可能是所有者或创建者。

之后，我无法访问 Big Query 中的项目以及“IAM & Admin”页面。

bq extract --compression GZIP Dataset.TableName gs://tableName_*.csv.gz
BigQuery 提取操作中的错误：访问被拒绝：项目项目名称：用户 myemail@xxx.com 在项目项目名称中没有 bigquery.jobs.create 权限.

由于我是此帐户的管理员，因此没有其他人有权访问。我有哪些选项可以恢复访问权限？

提前谢谢你。

我在我的 GCP 项目中设置了 Cloud Build Trigger，以便通过 .yaml 文件从 Cloud Source Repository 部署 Cloud Function。一切似乎都已根据官方文档正确设置并授予权限，但是当我通过手动运行触发器来测试触发器时，出现以下错误：

错误: (gcloud.functions.deploy) ResponseError: status=[403], code=[Forbidden], message=[缺少必要的权限 iam.serviceAccounts.actAs 用于资源 [MY_SERVICE_ACCOUNT]。请授予角色/iam.serviceAccountUser 角色。您可以通过运行 'gcloud iam service-accounts add-iam-policy-binding [MY_SERVICE_ACCOUNT] --member= --role=roles/iam.serviceAccountUser']

现在首先，运行建议的命令甚至不起作用，因为建议的语法不好（缺少“member =”的值）。但更重要的是，我已经将该角色添加到错误消息所抱怨的服务帐户中。我尝试从 UI 和 CLI 中删除它，然后将其添加回来，但仍然始终显示此错误。

为什么？

我正在设置一台在大屏幕上显示 GCP 计费信息图表的单板计算机。我不想使用我自己的所有者凭据在 pi 上显示图表（这已经是安全的），我想使用服务帐户登录到 GCP 后端并将仅计费查看者角色委派给该帐户。我经常将服务帐户用于命令行程序等，但我无法找到一种使用服务密钥实际登录到 gcp 控制台的 GUI 部分的方法。这可能吗？

谢谢

我想为客户创建 GCP 的自动部署。

为此，我打开了一个页面让他们使用 google 登录，然后启用 IAM API 和 Service Usage API。

然后我创建了一个服务帐户，我想从现在开始使用它，以便按需启用其他所需的 API，而不是一次性启用。

当我尝试启用 cloudkms API 时，我得到

我尝试使用从创建服务帐户的响应中创建的服务帐户凭据 (google.auth.jwt.Credentials)，并且添加了所有必需的权限。我不想将角色所有者授予服务帐户，因为我希望该帐户具有尽可能少的权限。

当我尝试使用用户权限获取 cloudkms API 的状态时，它可以工作。

我已经看到一些解决方案解决了我需要为服务帐户创建凭据的问题：https ://console.developers.google.com/apis/credentials但我也确实需要以编程方式执行此操作。

我的代码：

上面提到了错误。

我正在尝试找出一种方法来允许 GCP 用户列出存储桶，但仅限于用户具有权限的存储桶（通过 ACL）。原因是它可能会压倒桶的数量，并且用户体验不会是最好的。有任何想法吗 ？

谢谢！

我想为我在 Google Cloud 中运行的虚拟机进行自动部署，作为其中的一部分，我正在尝试使用服务帐户将我的文件 SCP 到 GCP 中的虚拟机，但不幸的是，我可以似乎没有弄清楚正确的权限应该是什么。

搜索文档后，我有一个具有以下权限的服务帐户：

• 计算实例.get
• compute.instances.setMetadata
• 计算.项目.get
• compute.projects.setCommonInstanceMetadata

但是当我运行以下命令时，我得到以下输出：

授予我的 scp-test 用户 iam.serviceAccountUser 角色有效，但这似乎是不好的做法，因为它使我的 scp-test 用户能够模拟默认帐户（'{OMMITED}-compute@developer.gserviceaccount.com'。 )，这似乎使它可以完全访问所有内容。

如何仅授予它 SCP 所需的权限？

我正在尝试在谷歌云上部署节点 js 应用程序，但出现以下错误 -

我正在运行以下命令 -

我的 cloudbuild.yaml 文件看起来像 -

我正在开发在 Google Kubernetes Engine 中运行的服务，我想使用该服务中的 Google Cloud 功能。我在 Google Cloud 中创建了一个具有所有必要角色的服务帐户，我想从运行我的服务的 pod 中使用这些角色。

我已阅读此内容：https ://cloud.google.com/kubernetes-engine/docs/tutorials/authenticating-to-cloud-platform 我想知道是否有更简单的方法来“连接”这两种服务帐户（在 Kubernetes 中定义 - 在 Google Cloud IAM 中定义）？

谢谢

我将通过 GCP IAM 上的 Qwicklabs 教程。

在某些时候，它提到

使用 gcloud iam list-grantable-roles 命令返回可应用于给定资源的所有角色的列表。

但是，引用的示例通过遍历整个项目列出了可授予的角色：

有没有办法运行上述命令，但只能在特定资源上运行，比如说Stackdriver或BigQuery？