服務帳號沒有 storage.buckets.get 存取 Google Cloud Storage 儲存桶的權限

服務帳號沒有 storage.buckets.get 存取 Google Cloud Storage 儲存桶的權限

我正在使用以下配置來運行 Ansible 服務,該服務應在 Google Cloud 上建立一個儲存桶。

- name: "Create {{ environ.name }}-cluster-backups"
  google.cloud.gcp_storage_bucket:
    name: "zeipt-io-{{ environ.name }}-cluster-backups"
    location: "{{ google_cloud.region }}"
    storage_class: "NEARLINE"
    lifecycle:
      rule:
        - condition:
            age_days: 28
          action:
            type: "Delete"
    project: "{{ google_cloud.project }}"
    auth_kind: "{{ google_cloud.auth_kind }}"
    service_account_file: "{{ google_cloud.service_account_file }}"
    state: present

這給了錯誤

致命:[localhost]:失敗! => {"changed": false, "msg": "GCP 回傳錯誤: {'error': {'code': 403, 'message': '[電子郵件受保護]沒有 storage.buckets.get 存取 Google Cloud Storage 儲存桶的權限。[電子郵件受保護]沒有 storage.buckets.get 存取 Google Cloud Storage 儲存桶的權限。

我理解該錯誤,但我已經檢查了分配給該用戶的角色,如下所示

gcloud projects get-iam-policy staging-environment --flatten="bindings[].members" --format='table(bindings.role)' --filter="bindings.members:[email protected]"
ROLE
roles/owner
roles/storage.admin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer

roles/storage.admin應該滿足我檢查的要求Google Cloud IAM 角色頁面這表示該角色具有storage.buckets.*權限。

我不明白為什麼我仍然遇到同樣的錯誤?

答案1

據我所知,社區的一些成員為您提供了一些解決方案來解決您的問題,但顯然這些解決方案對您的問題都沒有幫助。另外,據我了解,您正在使用 GCP 建立服務帳號並指派角色。

也許您可以嘗試從 ansible 建立服務帳戶和服務帳戶的角色,並檢查是否有效。

您可以使用此外掛程式建立服務帳戶google.cloud.gcp_iam_service_account – 建立 GCP ServiceAccount

例子:

- name: create a service account
  google.cloud.gcp_iam_service_account:
    name: sa-{{ resource_name.split("-")[-1] }}@graphite-playground.google.com.iam.gserviceaccount.com
    display_name: My Ansible test key
    project: test_project
    auth_kind: serviceaccount
    service_account_file: "/tmp/auth.pem"
    state: present

您可以使用外掛程式分配角色google.cloud.gcp_iam_role – 建立 GCP 角色

例子:

- name: create a role
  google.cloud.gcp_iam_role:
    name: myCustomRole2
    title: My Custom Role
    description: My custom role description
    included_permissions:
    - iam.roles.list
    - iam.roles.create
    - iam.roles.delete
    project: test_project
    auth_kind: serviceaccount
    service_account_file: "/tmp/auth.pem"
    state: present

請記住,這些插件是google.cloud 集合,如果您使用 ansible 軟體包,則應該安裝它。

相關內容