Сервисный аккаунт не имеет доступа storage.buckets.get к корзине Google Cloud Storage.

Я запускаю Ansible со следующей конфигурацией службы, которая должна создать ведро хранилища в Google Cloud.

- name: "Создать {{ environ.name }}-cluster-backups"
  google.cloud.gcp_storage_bucket:
    name: "zeipt-io-{{ environ.name }}-cluster-backups"
    местоположение: "{{ google_cloud.region }}"
    storage_class: "БЛИЖАЙШАЯ ЛИНИЯ"
    жизненный цикл:
      правило:
        - условие:
            возраст_дней: 28
          действие:
            тип: "Удалить"
    проект: "{{ google_cloud.project }}"
    auth_kind: "{{ google_cloud.auth_kind }}"
    service_account_file: "{{ google_cloud.service_account_file }}"
    состояние: присутствует

Что дает ошибку

фатальный: [localhost]: FAILED! => {"changed": false, "msg": "GCP вернул ошибку: {'error': {'code': 403, 'message': '[email protected] не имеет хранилища .buckets.get access to the Google Cloud Storage Buckets.', 'errors': [{'message': '[email protected] не имеет storage.buckets.get доступа к Google Cloud Storage ведро.", "домен": "глобальный", "причина": "запрещено"}]}}"}

Я понимаю ошибку, но я проверил роли, назначенные этому пользователю, вот так

Проекты gcloud get-iam-policy staging-environment --flatten="bindings[].members" --format='table(bindings.role)' --filter="bindings.members:[email protected]. gserviceaccount.com"
РОЛЬ
роли/владелец
роли/storage.admin
роли/storage.objectAdmin
роли/хранилище.objectCreator
роли/хранилище.objectViewer

роли/storage.admin должно удовлетворять требованию, как я проверил Страница ролей Google Cloud IAM в котором говорится, что эта роль хранилище.ведра.* разрешение.

Я не понимаю, почему я все еще получаю ту же ошибку?

Я понимаю, что некоторые члены сообщества предложили вам некоторые решения для решения вашей проблемы, но, по-видимому, ни одно из них не помогло решить вашу проблему.Кроме того, я понимаю, что вы используете GCP для создания учетной записи службы и назначения ролей.

Возможно, вы можете попробовать создать учетную запись службы и роли для учетной записи службы из ansible и проверить, работает ли это.

Вы можете создать учетную запись службы с помощью этого плагина google.cloud.gcp_iam_service_account — создает учетную запись службы GCP.

Пример:

- имя: создать учетную запись службы
  google.cloud.gcp_iam_service_account:
    имя: sa-{{ resource_name.split("-")[-1] }}@graphite-playground.google.com.iam.gserviceaccount.com
    display_name: Мой тестовый ключ Ansible
    проект: test_project
    auth_kind: учетная запись службы
    service_account_file: "/tmp/auth.pem"
    состояние: присутствует

И вы можете назначить роли с помощью плагина google.cloud.gcp_iam_role — создает роль GCP.

Пример:

- имя: создать роль
  google.cloud.gcp_iam_role:
    имя: myCustomRole2
    title: Моя пользовательская роль
    description: Мое пользовательское описание роли
    включенные_разрешения:
    - iam.roles.list
    - iam.roles.create
    - iam.roles.delete
    проект: test_project
    auth_kind: учетная запись службы
    service_account_file: "/tmp/auth.pem"
    состояние: присутствует

Помните, что эти плагины являются частью коллекция google.cloud, который следует установить, если вы используете пакет ansible.