问题标签 [google-iam]

我无法owner使用 gcloud 命令在 GCP (IAM) 中添加具有该角色的新成员以下命令失败：

出现以下错误/异常：

但是，相同的命令也适用于其他角色，例如：查看器、浏览器......！它只是不适用于“所有者”。有没有其他选择？如果是，如何在我的 Python 代码中添加它。请在这里帮助我..！

问候， 罗希特

我不喜欢谷歌云平台 (GCP) 的一件事是它围绕角色/服务帐户的安全模型较少。

在我的笔记本电脑上本地运行，我需要使用 JSON 文件中指定的服务帐户密钥。在 AWS 中，我可以只担任一个我已被授予访问权限的角色（无需携带私钥）。GCP 有类似的东西吗？

我在使用iam_policy资源类型时遇到了问题，而没有让自己被锁定在terraform destroy. google_storage_bucket_iam_policy这适用于和等资源类型google_project_iam_policy。

此示例适用于google_storage_bucket_iam_policy资源。假设我有一个所有者列表和 terraform 用于授予该roles/storage.admin角色的服务帐户。

创建资源的顺序是先bucket，后policy。自然，该destroy操作以相反的顺序处理资源 - 首先是策略，然后是存储桶。但是，删除策略后，服务帐户没有足够的权限来删除存储桶。

也许一种解决方法是google_storage_bucket_iam_member为所有者使用资源，但是这种方法似乎不是很干净，因为它继承了之前在项目中定义的任何内容，这可能会非常混乱。

顺便说一句，相同的逻辑适用于项目级别的资源google_project_iam_policy。提前致谢。

我无法以非交互方式激活我的 Google Cloud 服务帐户；即使在阅读了几个 SO 线程之后。

1. 创建服务帐号

gcloud iam service-accounts create my-awesome-acct ...

2. 为服务帐号创建角色

gcloud iam roles create AwesomeRole \ --permissions storage.objects.create,storage.objects.delete ....

3. 生成密钥

gcloud iam service-accounts keys create ~/awesome-key.json ...

4. 激活服务帐号

gcloud auth activate-service-account my-awesome-acct ~/awesome-key.json

我的问题

即使按照上述步骤，当我运行gsutil ...命令时，我仍然收到错误消息：

我可以让它工作的唯一方法是实际运行gcloud auth login并允许在 Web 浏览器中进行身份验证。

难道我做错了什么？或者这是否适用于每个服务帐户？

我有这个script.sh文件，要上传文件到 G-storage

当我使用终端执行它时，它工作正常并将文件上传到谷歌存储

但是当我使用 cron 作业运行脚本时，* * * * * /opt/script.sh脚本被执行但文件没有上传到 G-storage

也没有打印错误。

我究竟做错了什么。请求帮助？

是否有可能做到这一点？

AWS 中使用 IAM 的类似功能确实支持限制对单个存储桶的访问，但从https://cloud.google.com/compute/docs/access/service-accounts看，它看起来在 GCP 中是不可能的。

I've got a node.js application trying to create an Instance Group Manager. It's running on an instance with a service account attached to the instance with scopes compute-rw and cloud-platform. This service account has a role with the following permissions:

Looking at the audit log for resource.type="gce_instance_group_manager" I can see in first log entry:

I get 200 OK back with status: "PENDING" in body.

Only when looking through the audit logs do I see a log entry with status.message: INVALID_PARAMETER with no explanation and then another log entry with:

When attaching the Editor role to the service account I can create the Instance Group Manager so there seem to be some permissions missing. The logs show no permissions that were not granted so what could be missing?

Raw logs

我们正在尝试创建一个发布者主题，以提供一个发布/订阅频道，以便在新消息通过 REST 到达时得到通知。

我们正在使用两个 C# API V 1.35.1 和 Google PubSub V 1.0 Beta 20。

如果我们正在为开发者帐户注册 pub/sub，则此方法有效。但是，如果我们尝试使用标准帐户，它会失败。

要创建主题，我们有这些方法。

}

故障发生在：

有这个特例

和消息：

这些是我们使用 gmail 身份验证 api 通过 oauth 登录时请求的权限。

这些是添加的范围

问：当我们使用标准帐户而不是开发人员帐户时，是否缺少必需的范围？

问：这可能与 C# API 处于测试阶段有关吗？

注意：这些是附加注释 ------------------------------------------

让我解释一下我们正在尝试做的事情。确保我们采用的方法与 Gmail API 提供的方法兼容？

目前，我们有一个具有以下工作流程的服务器应用程序：

• 要求移动设备获取他们的 oauth 令牌并将其发送到我们的
  服务器。
• 创建一个线程，我们的服务器使用
  mobiles oauth 令牌通过 IMAP 连接。
• 使用 imap idle() 来侦听新的电子邮件事件。

我们正在尝试用基于 REST 的方法来替换这种设计。我们不想生成 100 个线程，每个线程都有一个开放的 IMAP 套接字。

根据您的回答，我们认为我们需要执行以下操作：

• 从项目所有者账户中，将每个客户的账户添加到我们的 IAM，角色为 Pub/Sub 订阅者
• 从最终用户帐户，使用 OAuth 凭据登录到 gmail-api，并每天调用“watch”以保持订阅处于活动状态。

这种方法的问题是：

• 我们正在创建一个 SAS 应用程序。用户不是我们组织的成员。
• 所有用户帐户都需要以 Pub/Sub 订阅者的角色添加到我们的组织 IAM
• 我们没有看到任何允许我们将用户添加到 IAM 的 api，我们必须通过控制台。

不确定我们在这里出错了。提前感谢您的反馈。

我在 GKE 上托管了一个应用程序，并希望能够让我的组织中的用户从 Web 访问此应用程序。我希望他们能够使用他们的 Google 帐户 IAM 凭据登录。

有没有办法配置暴露集群 Web 端点的服务，以便用户只需使用他们的 google 帐户登录即可访问此服务？

例如，在测试服务时，我可以轻松地在 cloud-shell 中进行 Web 预览，然后在浏览器中访问 Web 应用程序。

有没有办法对此进行配置，以便我的组织中授权的任何用户都可以访问我的应用程序的 Web 界面？

（注意，我在 DevOps 上问过同样的问题，但我觉得该网站还没有达到应有的活跃程度，所以我也在这里问）

我对这个文档很困惑在此处输入链接描述

这意味着我无法创建一个服务帐户，该帐户具有创建数据处理集群的作用？现在，我只能通过我自己的帐户“gcloud auth login”创建一个 dataproc 集群，但我想通过 setup 从 jenkins 创建 dataproc 集群

gcloud auth activate-service-account --key-file