具有足够访问权限的服务帐户的权限被拒绝
我的服务帐户有一个问题,该帐户具有附加的角色,称为Preemptible Killer。
该角色已绑定到该服务帐户,我什至为它提供了“编辑器”访问权限,以进行调试。
我有一个项目,并且仔细检查了名称是否正确。
当我点击删除实例API时收到403时,我遇到了问题。如果我转到策略疑难解答,从理论上我可以看到它具有正确的访问量。
已授予对preemptible-killer @ {project} .iam.gserviceaccount.com,compute.instances.delete,instances / {instance}的API调用的访问权限。
但是,当从我的K8s群集节点调用它时,我得到了403。这是意外的403,服务帐户和角色的屏幕截图。我肯定错过了一些我不知道的东西。
这是角色:
这是附加到服务帐户的自定义角色+编辑者角色。
❯ gcloud projects get-iam-policy {project}
bindings:
- members:
- serviceAccount:preemptible-killer@{project}.iam.gserviceaccount.com
role: projects/{project}/roles/preemptible_killer
- members:
- serviceAccount:preemptible-killer@{project}.iam.gserviceaccount.com
role: roles/editor
2 个答案:
答案 0 :(得分:0)
我最终创建了一个具有完全相同角色的另一个服务帐户,并且可以正常工作,实际上是一个克隆。
老实说,不确定这是GCP错误还是我错过了什么。
答案 1 :(得分:0)
如果您删除了SA,然后使用相同的名称重新创建了SA,但未对IAM进行任何更改,请记住,在GCP的后端,即使名称恰好是SA,这也是一个完全不同的SA。相同。仅供参考!
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?