问题标签 [google-iam]

有没有办法通过 API 管理 API/服务配额（https://console.cloud.google.com/iam-admin/quotas）？

在创建资源之前启用 API 时，我们遇到了一个服务帐户“默认”到创建它的项目的问题。

SA 是在项目 A 下创建的，但它拥有Owner项目 B 的权限。

我们正在尝试在项目 B中创建一个资源（GKE 集群），但它抱怨我们需要首先在项目 A上启用 Kubernetes API （我们正在传递--project给集群创建命令以避免在我们尝试创建的位置出现任何歧义集群。get-credentials 命令也是如此）。

PROJECT_NUMBER这里是项目 A 的数量，而不是 B。所需的 API 已经在项目 B 上启用。

我们在这里使用服务帐户的方法是否存在缺陷？

在创建服务帐户和为其分配角色时遇到了一些麻烦。最初，我的代码基于这个示例，但是我无法让它工作，因为虽然它确实创建了服务帐户，但它没有为其分配角色。所以我在stackoverflow上环顾四周，发现这个答案确实有效。

下面粘贴的是负责创建不起作用的服务帐户的 Jinja 文件的内容。我期望它做的是创建一个服务帐户，然后为其分配 pubsub.editor 和 dataflow.developer 角色。

我不明白为什么下面的代码不起作用，所以我希望有人能解释它有什么问题。

根据控制台弹出窗口，Project Browser 角色具有对项目资源的浏览访问权限，而 Project Viewer 具有对这些资源的读取访问权限。

这是否意味着使用浏览器角色我只能列出存储在项目存储桶中的文件名，但我需要查看器角色才能下载这些文件？

$GKE_CLUSTERGoogle Cloud Platform (GCP) 项目 () 中的一个Google Kubernetes Engine (GKE) 集群 ( $GCP_PROJECT) 似乎无法从pullGoogle Container Registry (GCR) Docker 映像：

和：

和：

在哪里：

• $SOME_POD形式为：deployment-replicaSet-pod
• $SOME_IMAGE形式为：us.gcr.io/$GCP_PROJECT/name:tag

仅列出服务帐户$GCP_PROJECT：

GKE 使用以下哪些服务帐户来访问 GCR 托管的 Docker 映像？

我有一个包含以下数据的 Google Cloud IAM 服务帐户密钥文件（json 格式）。

通过将此密钥文件传递给 kube API 客户端库，我可以使用此服务帐户访问 kubernetes API 服务器。

但是，我没有找到任何方法将此服务帐户传递给 kubectl 二进制文件，以使 kubectl 获得此服务帐户为其创建的项目的身份验证。

有什么方法可以让 Kubectl 使用此服务帐户文件进行身份验证？

我刚刚在预先存在的测试存储桶中尝试了新的“仅存储桶策略”设置。我希望能够通过 URL 匿名下载对象，但防止公众列出存储桶中的对象。

如果我将Storage Object Viewer角色添加到 allUsers，那么公众既可以列出存储桶也可以下载对象。如果我不添加那个角色，公众就无法下载文件。

有什么诀窍？我在旧的 ACL 系统上运行良好。

我的数据流有问题，我需要执行一项作业，但出现以下错误：

我已经创建了服务帐户并在项目中获得了许可。

服务帐号

所以我仍然无法识别这个错误。我已禁用 Dataflow API 并重新激活，但仍然没有。或者是否可以重新生成此服务帐户以执行作业？

问候

问题：

使用 Firebase Admin SDK 撤销刷新令牌所需的凭据实现是什么

设想

我有一个执行以下代码的云函数：

云功能代码：

来自云函数的日志错误：

当前具有角色的 IAM 成员：

在阅读了有关如何撤销刷新令牌的管理用户会话文档后，我无法准确找到 firebase-admin 所需的凭据，以便允许它撤销刷新令牌。

情况：

• 我有一个属于 GCP 组织的项目
• 用户 A 是组织级别的“组织管理员”和（项目）“所有者”

问题：

• 正如预期的那样，用户 A 列在手头项目的 IAM 页面中（具有前面提到的两个角色，继承由最后一列中的图标指示）
• 但是：用户看不到项目也无法访问它。这仅在我再次为项目分配所有者角色时才有效。

问题：是否可以继承所有者角色以通过继承使用户成为项目的所有者？