我获得了一个服务帐户和 json 文件,该文件具有测试项目的所有者权限。我可以从中授予我的 gmail.com 帐户的权限,以便能够通过正常的门户 cloud.google.com 视图管理项目吗?
这对我来说似乎是倒退 - 我希望拥有该项目权限的用户必须将我的 gmail.com 帐户授予该服务帐户。
我刚刚开始,所以如果我在这里遗漏了什么,请告诉我。谢谢。
答案 0 :(得分:1)
具有所有者权限的服务帐户是否存在特定原因?
服务帐户旨在使用该服务帐户所需的特定权限执行服务到服务的集成。在我看来,大包装所有者特权是一种反模式。
我建议您与您的管理员联系,以提供您对 google 帐户的所有权(仅当您确实需要时),并且仅创建具有最低权限的服务帐户,就好像您的服务帐户凭据被盗用一样,风险会非常大巨大的。
更新:
以下是步骤,但您需要小心,如果您应该这样做,应该询问您的管理员。
首先,使用您的服务帐户(拥有所有者访问权限)登录 gcloud,
gcloud auth activate-service-account your-service-account@google.com --key-file=/path/key.json --project=testproject
其次,使用,在您的项目中创建新用户
gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/viewer
参考文献: