Регистрация Войти
Рейтинг:2
Boppity Bop avatar Server

GCP — какой роли принадлежит разрешение?

флаг cn
Boppity Bop

Я не могу понять, почему использование IAM так сложно понять. Например, я пытаюсь создать расписание для экземпляра виртуальной машины. Когда я добавляю экземпляр в расписание, я получаю:

Сервисный аккаунт Compute Engine System service-xxxxxxxx@compute-system.iam.gserviceaccount.com
для выполнения этой операции необходимо применить разрешения [compute.instances.start,compute.instances.stop].

Я нашел учетную запись в IAM, но я не знаю, к какой роли относятся эти вещи. Какую роль мне добавить для достижения этой цели.

Если я попытаюсь gcloud Я получаю сообщение об ошибке:

проекты gcloud add-iam-policy-binding general-123456 \
    --member=пользователь:service-xxxxxxxxxxxx@compute-system.iam.gserviceaccount.com --role=roles/compute.instances.start

ОШИБКА: (gcloud.projects.add-iam-policy-binding) Пользователь [xxxxxx] не имеет разрешения на доступ к экземпляру проекта [general-123456:getIamPolicy] (или он может не существовать): у вызывающего абонента нет разрешения

Я владелец аккаунта и всех проектов.

Что мне с этим делать?

Вообще говоря, какова процедура работы с разрешениями GCP, когда они выражены как что-то.другое.и т.д. или же Что-то не так - как определить правильное имя роли?

783
1 + 0
Рейтинг:3
jabbson avatar Server
флаг sb
jabbson

Чтобы определить роль, в которой есть Compute.instances.start и calculate.instances.stop, вы можете перейти к списку ролей и отфильтровать их по этим разрешениям (введите одно в поле фильтра)[1]. Это создаст около дюжины различных ролей, которые имеют необходимые разрешения, но эти роли по умолчанию будут либо очень широкими в отношении количества разрешений (владелец, редактор, администратор вычислений), либо предназначены для других задач, не связанных с тем, что вы пытаетесь сделать (агент службы Cloud Dataflow, агент службы Kubernetes Engine).

В вашем случае вы можете просто создать новую роль (назовите ее как-то вроде Instance Scheduler) [2] и назначить только эти два разрешения, а затем привязать роль к своей учетной записи службы.

[1] https://cloud.google.com/iam/docs/creating-custom-roles#getting_the_role_metadata
[2] https://cloud.google.com/iam/docs/creating-custom-roles#creating_a_custom_role

0 + 2
Boppity Bop avatar
флаг cn
Boppity Bop
именно то, что мне было нужно - редкое явление на SE в наши дни :) спасибо!
0
Ответить
John Hanley avatar
флаг cn
John Hanley
@BoppityBop Это хороший ответ. Другой вариант — выполнить поиск в Google по имени разрешения. Одним из результатов поиска будет страница со списком этого разрешения и ролей, которые содержат это разрешение. Когда я работаю с новой службой, я читаю документацию IAM для этой службы, чтобы иметь представление о том, что мне нужно настроить.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.