服务帐户需要哪些范围/角色才能提交容器构建器作业?

时间:2017-08-10 00:06:03

标签: google-cloud-platform

创建新服务帐户以处理Container Builder作业时,尽管服务帐户包含Cloud Container BuilderLogs ViewerPrivate Logs viewer,但作业仍会失败并显示以下错误:

ERROR: (gcloud.container.builds.submit) HTTPError 403:
<?xml version='1.0' encoding='UTF-8'?>
<Error>
  <Code>AccessDenied</Code>
  <Message>Access denied.</Message>
  <Details>v2-container-builder@redacted.iam.gserviceaccount.com does not have storage.objects.get access to object redacted.cloudbuild-logs.googleusercontent.com/log-20117c17-f2b4-4159-9883-104ddd7bb232.txt.
  </Details>
</Error>

我理解错误指向云存储上文件的storage.objects.get权限,但这不是我们可以设置acl的存储区吗?

1 个答案:

答案 0 :(得分:3)

以下是来自this thread的David Bendory(Google Cloud容器生成器的技术主管)的引用:

  

GCS权限优先于IAM,因此工作方式略有不同。至   查看日志,有问题的服务帐户需要是查看器   该项目除了具有Builder Editor角色外。

相关问题
最新问题