înregistrare Logare
Puncte:2
Boppity Bop avatar Server

GCP - cărui rol îi aparține o permisiune?

drapel cn
Boppity Bop

Nu pot înțelege de ce utilizarea IAM este atât de greu de înțeles. De exemplu, încerc să creez o programare pentru o instanță VM. Când adaug o instanță la un program am primit:

Contul de serviciu Compute Engine System service-xxxxxxxxxx@compute-system.iam.gserviceaccount.com
trebuie să aibă permisiunile [compute.instances.start,compute.instances.stop] aplicate pentru a efectua această operațiune

Am localizat contul în IAM, dar nu știu ce rol aparțin acestor lucruri. Ce rol ar trebui să adaug pentru a realiza acest lucru.

Daca incerc gcloud primesc eroare:

proiecte gcloud add-iam-policy-binding general-123456 \
    --member=user:service-xxxxxxxxxxxx@compute-system.iam.gserviceaccount.com --role=roles/compute.instances.start

EROARE: (gcloud.projects.add-iam-policy-binding) Utilizatorul [xxxxxx] nu are permisiunea de a accesa instanța proiectelor [general-123456:getIamPolicy] (sau este posibil să nu existe): apelantul nu are permisiunea

Sunt proprietarul contului și al tuturor proiectelor.

Ce ar trebui să fac în privința asta?

În general vorbind, care este procedura pentru a trata permisiunile GCP atunci când acestea au exprimat placerea ceva.altul.etc sau Ceva nu e în regulă - cum să identifici numele corect al rolului?

783
1 + 0
Puncte:3
jabbson avatar Server
drapel sb
jabbson

Pentru a afla rolul, care are compute.instances.start și compute.instances.stop, puteți merge la lista de roluri și puteți filtra după aceste permisiuni (tastați una în caseta de filtrare)[1]. Acest lucru va produce aproximativ o duzină de roluri diferite care au permisiunea necesară, dar aceste roluri implicite vor fi fie foarte largi în ceea ce privește numărul de permisiuni (proprietar, editor, administrator de calcul), fie concepute pentru alte sarcini, fără a fi legate de ceea ce încercați să faceți (Cloud Dataflow Service Agent, Kubernetes Engine Service Agent).

În cazul dvs., puteți crea un rol nou (numiți-l așa cum ar fi Instance Scheduler) [2] și alocați doar aceste două permisiuni, apoi legați rolul la contul dvs. de serviciu.

[1] https://cloud.google.com/iam/docs/creating-custom-roles#getting_the_role_metadata
[2] https://cloud.google.com/iam/docs/creating-custom-roles#creating_a_custom_role

0 + 2
Boppity Bop avatar
drapel cn
Boppity Bop
exact ce aveam nevoie - o întâmplare rară pe SE zilele acestea :) mulțumesc!
0
Răspunde
John Hanley avatar
drapel cn
John Hanley
@BoppityBop Acesta este un răspuns bun. O altă opțiune este să căutați pe Google pe numele permisiunii. Unul dintre rezultatele căutării va fi o pagină care listează permisiunea respectivă și rolurile care conțin această permisiune. Când lucrez cu un serviciu nou, citesc documentația IAM pentru acel serviciu, astfel încât să înțeleg ce va trebui să configurez.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.