Я не могу понять, почему использование IAM так сложно понять.
Например, я пытаюсь создать расписание для экземпляра виртуальной машины. Когда я добавляю экземпляр в расписание, я получаю:
Сервисный аккаунт Compute Engine System service-xxxxxxxx@compute-system.iam.gserviceaccount.com
для выполнения этой операции необходимо применить разрешения [compute.instances.start,compute.instances.stop].
Я нашел учетную запись в IAM, но я не знаю, к какой роли относятся эти вещи. Какую роль мне добавить для достижения этой цели.
Если я попытаюсь gcloud
Я получаю сообщение об ошибке:
проекты gcloud add-iam-policy-binding general-123456 \
--member=пользователь:service-xxxxxxxxxxxx@compute-system.iam.gserviceaccount.com --role=roles/compute.instances.start
ОШИБКА: (gcloud.projects.add-iam-policy-binding) Пользователь [xxxxxx] не имеет разрешения на доступ к экземпляру проекта [general-123456:getIamPolicy] (или он может не существовать): у вызывающего абонента нет разрешения
Я владелец аккаунта и всех проектов.
Что мне с этим делать?
Вообще говоря, какова процедура работы с разрешениями GCP, когда они выражены как что-то.другое.и т.д.
или же Что-то не так
- как определить правильное имя роли?