Ich kann die Details eines Servicekontos anfordern bei
gcloud iam service-accounts describe <SA-email> --project=<PROJECT>
Dies gibt die Beschreibung, den Anzeigenamen, den OAuth-Client usw. an. Es wird jedoch mit einem Fehler fehlschlagen, wenn ich versuche, nach Informationen zu standardmäßigen, von Google generierten Konten zu suchen. Zum Beispiel:
gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com
scheitert mit
ERROR: (gcloud.iam.service-accounts.get-iam-policy) NOT_FOUND: Unknown service account
Dies gilt für alle gcloudAktionen, die versuchen, in ein bestimmtes Dienstkonto einzudringen.die Google automatisch generiert hat.
Das ist für uns frustrierend, weil wir ein zentralisiertes Projekt haben, das wir für Dienste verwenden, die wirwollenum sie in unseren Umgebungen zu teilen, wie z. B. in unserem Artifact Registry. Wir müssen diesen automatisch generierten Konten projektübergreifenden Zugriff über die Standardwerte hinaus gewähren.
Wir können Zugriff gewähren, über Terraform oder den Config Connector von GCP. Aber wir können nichtbeobachtenden Status auf eine beliebige skriptfähige Weise.
Weiß jemand, wie gcloudman einen Blick in die Funktionsweise vonAutomatisch von Google generierteDienstkonten?