我刚开始使用 GCP,并且有使用 AWS 的经验,因此 IAM 权限和服务帐户对我来说并不陌生,但 GCP 是。
所以我正在尝试向公司介绍 terraform,目前为了简单起见,我创建了一个服务帐户,给了它一个自定义角色,当然它正在获得授权失败,因为显然我缺少网络创建的东西.日志浏览器中是否有一种方法可以找到“您的服务帐户 X 尝试执行 Y 操作,结果:Z”,而不是尝试缩小“我需要哪些权限”的搜索范围?
答案 0 :(得分:1)
据我所知,您正在寻找一种查看服务帐户活动的方法。Cloud Audit Logs 是查看此内容的不错选择,您有多种view Audit Logs 日志方式,包括 {{3 }}。
Log Explorer 上的文档可能会有所帮助。Audit logs for service accounts 以从日志中精确搜索。有关 Advanced logs queries 的更多详细信息,以及可用于服务帐户的 IAM 角色。仅供参考,Policy Troubleshooter 对 service accounts 很有帮助,因为它会检查适用于资源的所有 IAM 政策。