服务帐户是否需要与它将查询的数据集位于同一项目中的BQ作业用户角色?
我的GCP专家告诉我,我的SA只需要在我要查询的数据集所在的项目中扮演data viewer角色,并且只要它在任何其他项目中扮演作业用户角色,查询作业就应该可以工作。
但是当我运行查询时,我得到这个错误:
google.api_core.exceptions.禁止: 403发布https://bigquery.googleapis.com/bigquery/v2/projects/...:拒绝访问:项目...:用户在项目中没有bigquery.jobs.create权限......
那么SA是否需要在数据集所在的项目中扮演BQ作业用户角色?
共有2个答案
为了避免您面临的错误,有必要使用bigquery。乔布斯。创建权限,如错误中所示。您有两个选择:
1.-创建具有此权限的自定义角色。
2.-添加BigQuery作业用户或BigQuery用户角色。它们都有一个大问题。乔布斯。创建所需的权限。
你的GCP专家是正确的!
只要它在任何其他项目中具有作业用户角色。。。
您只需要确保您是在SA具有作业用户角色的项目中运行作业。这个项目将被计入运行作业的费用
-
我在一个GCP项目中构建了一个Google Kubernetes引擎(GKE)集群。 根据集群上运行的应用程序的不同用例,我将应用程序与不同的服务帐户和不同的授予权限相关联。为此,我将Google服务帐户(GSA)与库伯内特斯集群服务帐户(KSA)绑定如下: 参考:https://cloud.google.com/kubernetes-engine/docs/how-to/workload-ide
-
我的云功能,CF(使用服务帐户凭据,)在AppEngine上运行的应用程序(使用应用程序引擎默认服务帐户凭据,) api_请求引发异常中的文件“/env/local/lib/python3.7/site packages/google/cloud/_http.py”,第293行。来自谷歌的http响应(response)。api_核心。例外情况。禁止:403获得https://www.google
-
问题内容: 我正在尝试向Drive API发出使用服务帐户模拟用户的请求,但出现异常。 我已经按照https://developers.google.com/identity/protocols/OAuth2ServiceAccount中的说明进行了操作: 在https://console.developers.google.com中,创建一个项目>凭证>服务帐户> P12文件; 启用的Drive
-
问题内容: 我正在尝试向Drive API发出使用服务帐户模拟用户的请求,但出现异常。 我已经按照https://developers.google.com/identity/protocols/OAuth2ServiceAccount中的说明进行了操作: 在https://console.developers.google.com中,创建一个项目>凭证>服务帐户> P12文件; 启用的Drive
-
我开发了以下代码,用于自动执行我的一些实例的启动/停止任务,这些实例不需要一直运行,而是在特定范围内运行。 这是我的代码:https://github.com/maartinpii/gcp-shst 我按照谷歌云平台指南(参考:https://cloud.google.com/iam/docs/understanding-service-accounts https://cloud.google.
-
我很困惑,为什么需要帐户来创建项目?如果我使用创建项目,而不使用aka,它将返回以下错误消息。 终止安装. yarnpkg add--精确反应-dom反应-脚本--cwd /Users/user/Documents/Projects/ReactJS/mytest已失败。 如果我创建一个项目与,它是工作。