代码之家  ›  专栏  ›  技术社区  ›  pkaramol

谷歌云平台服务帐户未从组织自定义角色获得权限

google-iam service-accounts google-cloud-platform
  •  0
  • pkaramol  · 技术社区  · 2 年前

    我有以下服务帐户 

    [email protected]

    似乎具有以下自定义角色 

    ▶ gcloud projects get-iam-policy my-project  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:[email protected]"
ROLE
organizations/123456789/roles/my_custom_role

    此自定义角色具有以下权限 

    ▶ gcloud iam roles describe my_custom_role --organization 123456789
description: My custom role
etag: kdkdkdkd=
includedPermissions:
- container.clusters.get
- container.clusters.list
- container.clusters.update
- container.nodes.delete
- container.nodes.list
- container.operations.get
- resourcemanager.projects.get
- resourcemanager.projects.list
name: organizations/123456789/roles/my_custom_role
stage: GA
title: my_custom_role-

    然而,当担任这个角色时(我使用json私钥创建、下载和登录)

    在列出项目时,我不能看到组织的所有项目,只能看到SA所属的项目,尽管我应该这样做

    • SA具有组织级别的角色
    • 它有 resourcemanager.projects.get resourcemanager.projects.list 权限

    为什么?

    2 回复  |  直到 2 年前
        1
  •  1
  •   Joseph Lust    2 年前

    要查看其他项目,您需要对您的组织拥有更高级别的权限。

    在列出项目时,我不能看到组织的所有项目,只能看到SA所属的项目,尽管我应该这样做

    这是意料之中的事,因为项目只能控制谁看到这个项目。

        2
  •  1
  •   Chaotic Pechan    2 年前

    您可能还需要组织权限:

    https://cloud.google.com/resource-manager/reference/rest/v1beta1/organizations/list 

    organizations.list
    推荐文章
    Jan  ·  GCP部署管理器:403没有存储。水桶。得以进入
    6 年前
    DynaObject LLC  ·  谷歌云平台托管服务提供商[关闭]
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号