Привязка сервисной учетной записи Workload Identity к сервисной учетной записи GKE с помощью Deployment Manager?

Я включил идентификацию рабочей нагрузки в нашем кластере GKE. Сейчас я развертываю приложение в GKE, которое использует WI для аутентификации в другой службе Google. Я уже использовал Диспетчер развертывания для создания учетной записи службы IAM с правом доступа к службе Google. Я также развернул приложение с собственной учетной записью службы GKE в кластере.

Наконец, мне нужно связать вместе два разных типа учетных записей служб. Это позволяет учетной записи службы Kubernetes действовать как учетная запись службы Google, что позволяет поду получать доступ к облачным сервисам.

В документации используется инструмент CLI для добавления привязки политики следующим образом:

      gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:PROJECT_ID.svc.id.goog[K8S_NAMESPACE/KSA_NAME]" \
  GSA_NAME@PROJECT_ID.iam.gserviceaccount.com

Конечно, я хотел бы сделать это через GCP Deployment Manager (инфра-как-код и все такое), но я не могу понять правильный синтаксис DM!?

Обычно я выполняю привязку ролей черезgcp-types/cloudresourcemanager-v1:virtual.projects.iamMemberBindingвведите, как в примере кода , но я не могу понять, как повторить приведенное вышеgcloudкоманда и не могу найти общедоступных примеров. Кто может помочь, пожалуйста?

РанееactionsЯ думаю, что они будут использоваться, но, поскольку они устарели, я бы предпочел не использовать их для нового кода. iamMemberBindingкажется, это рекомендуемый способ.