add-iam-policy-binding 到 ESP 端點服務 GCloud 時出錯

Question

我正在嘗試按照Getting started with Cloud Endpoints for GKE with ESPv2 中的說明，為要部署到現有 GKE 集群的 API 創建端點

我在repo中克隆了示例代碼並修改了openapi.yaml的內容：

# [START swagger]
swagger: "2.0"
info:
  description: "A simple Google Cloud Endpoints API example."
  title: "Endpoints Example"
  version: "1.0.0"
host: "my-api.endpoints.my-project.cloud.goog"

然后我通過命令部署它：

endpoints/getting-started (master) $ gcloud endpoints services deploy openapi.yaml

現在我可以看到它已經創建：

$ gcloud endpoints services list
NAME                                                         TITLE
my-api.endpoints.my-project.cloud.goog

我也有 postgreSQL 服務帳戶：

$ gcloud iam service-accounts list
DISPLAY NAME                   EMAIL                          DISABLED
my-postgresql-service-account  my-postgresql-service-acco@my-project.iam.gserviceaccount.com  False

在文檔的端點服務配置部分中，它說將角色添加到端點服務的附加服務帳戶，如下所示，但我收到此錯誤：

$ gcloud endpoints services add-iam-policy-binding my-api.endpoints.my-project.cloud.goog 
--member serviceAccount:my-postgresql-service-acco@my-project.iam.gserviceaccount.com
--role roles/servicemanagement.serviceController
ERROR: (gcloud.endpoints.services.add-iam-policy-binding) User [myusername@mycompany.com] does not have permission to access services instance [my-api.endpoints.my-project.cloud.goog:getIamPolicy] (or it may not exist): No access to resource: services/my-api.my-project.cloud.goog

前幾行顯示服務退出，我猜？ 現在我不確定如何解決這個問題？ 我需要什么權限？ 誰能給我權限，他應該有什么權限？ 我該如何檢查？ 還有其他解決方案嗎？

Answer 1

在我被分配“Project_Admin”角色后，問題得到了解決。 這並不理想，因為它給了我太多的許可。 也嘗試了角色“roles/endpoints.portalAdmin”，但沒有幫助。