Учетная запись службы не имеет доступа к storage.buckets.create

Question

Учетная запись службы не имеет доступа к storage.buckets.create

Я создал сервисную учетную запись для Terraform. Помимо нашего процесса, мы создаем несколько хранилищ и поддерживаем их через Terraform.

Тем не менее, когда мы бежим terraform apply мы получаем следующую ошибку:

google_storage_bucket.state_bucket: googleapi: Error 403: terraform@{project}.iam.gserviceaccount.com does not have storage.buckets.create access to project {project_id}.

Я применил следующие разрешения IAM безрезультатно:

Project Owner
Storage Admin
Storage Object Admin

0

google-cloud-platform terraform service-accounts google-iam

Источник

Andrew Ellis 19 апр '19 в 14:38

1 ответ

Другие вопросы по тегам google-cloud-platform terraform service-accounts google-iam

02 июн '20 в 14:23 2020-06-02 14:23 · Answer 1 · 2020-06-02 14:23

У меня такая же проблема. Мы используем организации в GCP. И я использовал этот скрипт для создания учетной записи terraform в проекте terraform-admin, который я создал только для хранения основной учетной записи службы terraform, которую мы используем для настройки проектов и сред более высокого уровня.

Оказалось, что роли, которые я установил для terraform@{project}.iam.gserviceaccount.com в проекте администратора, являются локальными для этого проекта. т.е. в представлении IAM организации эта учетная запись службы отображается только с "Пользователем платежной учетной записи" и "Создателем проекта".

Я не уверен, но я думаю, что другие проекты области организации не могут читать роли, установленные в других проектах (или роли, установленные в других проектах для конкретной учетной записи службы, переопределяются ролями, настроенными в области ролей организации для этой учетной записи службы.)

Добавление ролей "Администратор хранилища" и "Наблюдатель" к учетной записи службы области организации устранило эту ошибку.

PS Я думаю, что использование terraform Enterprise позволяет управлять пользователями в масштабах организации и, таким образом, дает возможность создавать и управлять учетными записями служб terraform в области организации, избегая необходимости вручную добавлять роли области организации в учетную запись службы, с которой вы сталкиваетесь с версией сообщества.

Travis 20 апр '19 в 16:30 2019-04-20 16:30 · Answer 2 · 2019-04-20 16:30

Я не уверен, связано ли это с этим, но я использую служебную учетную запись для резервного копирования из cloudberry в корзину, и они только сегодня начали давать сбой с аналогичными проблемами доступа, которые вы описали. Я думаю, что Google изменил что-то, они имеют то же самое