![](/img/trans.png)
[英]How do I grant a specific permission to a Cloud IAM service account using the gcloud CLI?
[英]Creating a custom service account for Cloud Run using the gcloud CLI
默认情况下, Cloud Run 使用 Compute Engine 默认服务帐户,该帐户授予我尝试在其中运行的容器不需要的广泛权限,因此我想设置一个新服务帐户。
如果我理解正确,我需要执行以下操作:
gcloud iam roles create
)gcloud iam service-accounts create
)gcloud run deploy --service-account
)。 上述文档没有提到如何实现第 3 步。我找到了gcloud iam service-accounts add-iam-policy-binding
命令,但我看到这是用户(成员)、服务帐户和一个角色,而我上面描述的似乎只需要双向绑定,并且在第四步中授予 Cloud Run 服务的权限。
除了用户管理的服务帐户之外,您还可以使用自定义角色,但这不是强制性的。 您还可以创建用户托管服务帐户并将其与预定义角色绑定。
无论如何,如果您想将自定义角色绑定到服务帐户(或用户帐户,没有区别),您必须使用角色的完全限定路径
# Project level
projects/<projectID>/roles/<custom role name>
# Organization level
organizations/<organizationID>/roles/<custom role name>
而 gcloud 命令可以是这个
gcloud projects add-iam-policy-binding <projectID> \
--member=serviceAccount:<service account email> \
--role=projects/<projectID>/roles/<custom role name>
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.