gcloud关于添加iam策略绑定的困惑
以下gCloud留档
将IAM策略绑定添加到IAM服务帐户
https://cloud.google.com/sdk/gcloud/reference/iam/service-accounts/add-iam-policy-binding
要将角色/编辑器的角色的IAM策略绑定添加到服务号test-proj1@example.domain.com,请运行:
gcloud iam service-accounts add-iam-policy-binding \
test-proj1@example.domain.com \
--member='serviceAccount:test-proj1@example.domain.com' \
--role='roles/editor'
为项目添加IAM策略绑定
https://cloud.google.com/sdk/gcloud/reference/projects/add-iam-policy-binding
要将角色/编辑器的角色的IAM策略绑定添加到服务号test-proj1@example.domain.com,请运行:
gcloud projects add-iam-policy-binding \
test-proj1@example.domain.com \
--member='serviceAccount:test-proj1@example.domain.com' \
--role='roles/editor'
为组织添加IAM策略绑定
https://cloud.google.com/sdk/gcloud/reference/organizations/add-iam-policy-binding
要将角色/编辑器的角色的IAM策略绑定添加到服务号test-proj1@example.domain.com,请运行:
gcloud organizations add-iam-policy-binding \
test-proj1@example.domain.com \
--member='serviceAccount:test-proj1@example.domain.com' \
--role='roles/editor'
有人知道这三个命令实际上是否相同吗?
提前感谢你的帮助。
乔纳森。
共有1个答案
你必须这样读命令
gcloud <resourceType> add-iam-policy-binding <resourceName> --member=<accountToGrantOnTheResource> --role=<roleToGrantOnTheResource>
困惑来自服务账户的双重性(我保证,没有量子的东西!)。服务帐户可以是身份和资源。
您可以授权某人作为服务帐户的编辑,另一个人作为服务帐户的查看者-
在另外两个示例中,您授予您的服务帐户(作为身份)作为资源项目(项目的所有资源,服务帐户本身,如果它属于此项目)和组织的编辑。
-
我想做什么(继续我之前问过的一个问题:如何通过PowerShell中的IAM角色过滤AWS实例,并获取该实例的私有IP地址?)获取具有特定IAM角色的实例的专用ip地址。我有一个完美的代码: 但是,现在我想创建一个IAM策略来限制用户只能获取具有特定IAM角色的实例的信息,而不是在代码中进行筛选。因此,如果他们试图(例如),它应该只返回有关实例的信息,而不是帐户中的所有实例。 这是我的IAM政策,
-
我对策略变量${aws: username}感到困惑,即它是我在AWS帐户中登录的IAM用户名,还是我在创建实例时手动输入的标记值。 实际上,我想实现ec2实例的唯一所有者应该是执行操作
-
我正在尝试按照本指南将消息从未加密的SNS主题传递到加密的SQS队列。我能够完成“为AWS服务配置KMS权限”步骤,但在“为生产者配置KMS权限”步骤中遇到了问题。我已经创建了IAM角色,但是将这个角色附加到我的SNS主题是我特别困惑的地方。以下是我自己的研究无法回答的一些问题: IAM角色是否可以附加到特定项目(SNS主题、SQS队列等)?如果没有,还有什么其他方法可以授予特定项目的权限 当说明
-
对于小型CloudFormation和CodePipeline模板,我们可以“尝试-测试”以获得所需角色的最低权限IAM策略。 这通常包括: 从最小策略开始 创建堆栈 它失败与-堆栈没有权限的一些服务:一些行动 将服务操作添加到策略 更新堆栈并重试 这种方法对于较大的CloudFormation模板来说太耗时了 您如何制定最低特权IAM策略? 思想: > 允许"*",然后为事件刮取云迹,并为列出的
-
我有一个AWS帐户,其中包含我所有的东西,并想保护它。 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户。我该怎么做? 我试图使用IAM组,但是有人可以创建一个没有特定组的用户。此外,我尝试了组织SCP,但它似乎与主帐户不工作。
-
我已经创建了p3p文件,将它们放在w3c文件夹中,但fiddler2仍然返回没有p3p的集cookie? iis上的Wordpress站点... 试图让它返回cookies集 我知道这是旧东西,但客户想要它。 我错过了什么?