“錯誤:(gcloud.asset.export) 用戶沒有權限”僅在使用服務帳戶進行身份驗證時
[英]"ERROR: (gcloud.asset.export) User does not have permission" only when authenticated with a service account
問題描述
我正在嘗試使用通過服務帳戶進行身份驗證的Google Cloud Asset Inventory和gcloud命令(版本 314.0.0)導出項目資產:
# 1. authenticate with service account my-service-account@$PROJECT_ID.iam.gserviceaccount.com
gcloud auth activate-service-account --key-file=/path/to/my/key.json
# 2. export assets to BQ
gcloud asset export \
--project=$PROJECT_ID \
--bigquery-table=projects/$PROJECT_ID/datasets/$DATASET_ID/tables/$TABLE_ID \
--output-bigquery-force \
--content-type=resource
並得到以下錯誤:
錯誤:(gcloud.asset.export) 用戶 [my-service-account@$PROJECT_ID.iam.gserviceaccount.com] 沒有訪問項目 [$PROJECT_ID:exportAssets] 的權限(或者它可能不存在):調用者沒有權限沒有權限
我的服務帳戶在$PROJECT_ID上具有以下角色:
-
roles/cloudasset.viewer -
roles/bigquery.jobUser -
roles/bigquery.dataEditor
請注意,當我使用自己的個人帳戶(與我的服務帳戶具有相同的角色)登錄時, gcloud asset export起作用。
將--verbosity=debug標志添加到gcloud不會添加其他信息:
apitools.base.py.exceptions.HttpForbiddenError: HttpError 訪問https://cloudasset.googleapis.com/v1/projects/$PROJECT_ID:exportAssets?alt=json
具有以下內容:
{
"error": {
"code": 403,
"message": "The caller does not have permission",
"status": "PERMISSION_DENIED"
}
}
我不明白使用服務帳戶 ( gcloud auth activate-service-account ) 和我自己的個人帳戶 ( gcloud auth login ) gcloud auth login ,兩者都應該可以工作,因為我擁有完全相同的權限。
任何想法將不勝感激。
1 個解決方案
解決方案1
1 已采納 2020-10-19 09:49:03
這是一個關於這個問題的公開調查:
將資產導出到 GCS 或 BigQuery 時出現權限被拒絕錯誤
看來您必須模擬內置服務帳戶service-xxxxxxxx@gcp-sa-cloudasset.iam.gserviceaccount.com並向其添加Storage Admin角色。
此外,您還必須將角色roles/bigquery.jobUser和roles/bigquery.dataEditor到服務帳戶service-xxxxxxxx@gcp-sa-cloudasset.iam.gserviceaccount.com ,其中xxxxxx是項目 ID。
創建新計算實例時 GCP 中的權限錯誤,但服務帳戶確實具有權限
[英]Permission error in GCP when creating a new compute instance but service account does have permissions
嘗試在 GCP 中模擬服務帳戶時出現錯誤 403,“調用者沒有權限”
[英]Error 403, "The caller does not have permission" when trying to impersonate Service Account in GCP
(gcloud.container.clusters.create)ResponseError:代碼= 400,消息=用戶無權訪問服務帳戶“默認”
[英](gcloud.container.clusters.create) ResponseError: code=400, message=The user does not have access to service account “default”
GCP:錯誤:(gcloud.services.enable) PERMISSION_DENIED:調用方在啟用 API 時沒有權限
[英]GCP: ERROR: (gcloud.services.enable) PERMISSION_DENIED: The caller does not have permission when enabling API
錯誤:(gcloud.services.enable) 用戶沒有訪問項目的權限(或者它可能不存在):調用者沒有權限
[英]ERROR: (gcloud.services.enable) User does not have permission to access project (or it may not exist): The caller does not have permission
使用節點gcloud創建新項目時“調用者沒有權限”錯誤
[英]“The caller does not have permission” error when creating new project using node gcloud
錯誤:(gcloud.builds.submit)錯誤 403:<service account> 沒有 storage.objects.get 訪問谷歌雲存儲 object</service>
[英]ERROR: (gcloud.builds.submit) Error 403: <SERVICE ACCOUNT> does not have storage.objects.get access to the Google Cloud Storage object
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
gcloud:用戶無權訪問服務帳戶“默認”
創建新計算實例時 GCP 中的權限錯誤,但服務帳戶確實具有權限
嘗試在 GCP 中模擬服務帳戶時出現錯誤 403,“調用者沒有權限”
(gcloud.container.clusters.create)ResponseError:代碼= 400,消息=用戶無權訪問服務帳戶“默認”
GCP:錯誤:(gcloud.services.enable) PERMISSION_DENIED:調用方在啟用 API 時沒有權限
錯誤:(gcloud.services.enable) 用戶沒有訪問項目的權限(或者它可能不存在):調用者沒有權限
使用節點gcloud創建新項目時“調用者沒有權限”錯誤
錯誤:(gcloud.builds.submit)錯誤 403:<service account> 沒有 storage.objects.get 訪問谷歌雲存儲 object</service>
“gcloud 數據存儲導出”時“未知錯誤”是什么意思?
Gcloud:使用服務帳戶進行身份驗證
相關標簽