存储库GCP项目级角色绑定
我正在尝试应用下面的角色绑定,将存储管理角色授予Vault中的GCP角色集。
resource "//cloudresourcemanager.googleapis.com/projects/{project_id_number}" {
roles = [
"roles/storage.admin"
]
}
我希望授予项目级别的访问权限,而不是特定的bucket,以便GCP roleset能够访问和读/写Google容器注册表。
当我尝试在Vault中创建此roleset时,我得到以下错误:
Error writing data to gcp/roleset/my-roleset: Error making API request.
URL: PUT http://127.0.0.1:8200/v1/gcp/roleset/my-roleset
Code: 400. Errors:
* unable to set policy: googleapi: Error 403: The caller does not have permission
我的Vault集群正在GKE集群中运行,该集群具有所有云API的OAuth作用域,我是项目所有者,并且Vault正在使用的服务帐户具有以下权限:
- 云KMS加密密钥加密/解密器
- 服务帐户执行元
- 服务帐户管理
- 服务帐户密钥管理
- 服务帐户令牌创建者
- 日志编写器
- 存储管理
- 存储对象管理
我已经尝试给服务帐户同时赋予编辑器和所有者角色,但仍然得到相同的错误。
首先,我是否使用了正确的资源来为项目级别的存储管理角色创建一个roleset?
其次,如果是的话,是什么导致了这个权限错误?
共有1个答案
我以前重新创建了集群并跳过了这一步:
vault write gcp/config credentials=@credentials.json
添加密钥文件修复了这一点。
还有一个可能的情况是,在这里按照创建自定义角色的步骤并添加该自定义角色起到了一定的作用。
-
角色绑定定义了角色绑定和服务账户的绑定关系。 角色绑定定义了角色和服务账户的绑定关系,从而控制服务账户的操作权限。多集群资源的角色绑定支持绑定到集群上,批量在集群中创建相同的角色绑定。 入口:在云管平台单击左上角导航菜单,在弹出的左侧菜单栏中单击 “容器/多集群资源/角色绑定” 菜单项,进入角色绑定页面。 新建角色绑定 该功能用于新建多集群的角色绑定,在新建多集群的角色绑定之前,请先创建多集群的命
-
角色绑定定义了角色和服务账户的绑定关系。 角色绑定定义了角色和服务账户的绑定关系,从而控制服务账户的操作权限。 角色绑定的详细介绍请参考Kubernetes官方文档-RBAC。 入口:在云管平台单击左上角导航菜单,在弹出的左侧菜单栏中单击 “容器/集群/角色绑定” 菜单项,进入角色绑定页面。 查看角色绑定 该功能用于基于集群、命名空间筛选角色绑定信息。 在角色绑定页面,默认查看一个集群下所有命名空
-
我已经从GCP控制台创建了和一个自定义角色。 但是,当试图关联它们时,它会失败,如下所示: 知道为什么吗?
-
我开发了以下代码,用于自动执行我的一些实例的启动/停止任务,这些实例不需要一直运行,而是在特定范围内运行。 这是我的代码:https://github.com/maartinpii/gcp-shst 我按照谷歌云平台指南(参考:https://cloud.google.com/iam/docs/understanding-service-accounts https://cloud.google.
-
集群角色绑定定义了集群角色和服务账户的绑定关系。 集群角色绑定定义了集群角色和服务账户的绑定关系,从而控制服务账户的操作权限。多集群资源的集群角色绑定支持绑定到集群上,批量在集群中创建相同的集群角色绑定。 入口:在云管平台单击左上角导航菜单,在弹出的左侧菜单栏中单击 “容器/多集群资源/集群角色绑定” 菜单项,进入集群角色绑定页面。 新建集群角色绑定 该功能用于新建多集群的集群角色绑定,在新建多集
-
集群角色绑定定义了集群角色和服务账户的绑定关系。 集群角色绑定定义了集群角色和服务账户的绑定关系,从而控制服务账户的操作权限。 集群角色绑定的详细介绍请参考Kubernetes官方文档-RBAC。 入口:在云管平台单击左上角导航菜单,在弹出的左侧菜单栏中单击 “容器/集群/集群角色绑定” 菜单项,进入集群角色绑定页面。 查看集群角色绑定 该功能用于基于集群、命名空间筛选集群角色绑定信息。 在集群角