如何在 Terraform 中創建 GCP 工作負載身份 IAM 綁定？

Question

GCP 允許 Kubernetes 服務賬戶通過在兩個服務賬戶之間添加 IAM 策略綁定來模擬 IAM 服務賬戶。 此綁定允許 Kubernetes 服務賬戶充當 IAM 服務賬戶。

gcloud iam service-accounts add-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"

我們想通過 Terraform 資源創建相同的內容，我們嘗試過這種方式，請參閱：文章

resource "google_service_account_iam_binding" "service-account-iam" {
  service_account_id = "GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com"
  role               = "roles/iam.workloadIdentityUser"
  members = [
    "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]",
  ]
}

但我們收到以下錯誤：

錯誤：“service_account_id”（“XXX@XXX.iam.gserviceaccount.com”）不匹配正則表達式“projects/(?:(?:[-a-z0-9]{1,63}\.) (? :az?):)?(?:[0-9]{1,19}|(?:a-z0-9?)|-)/serviceAccounts/((?:(?:[-a-z0- 9]{1,63}\.) (?:az?):)?(?:[0-9]{1,19}|(?:a-z0-9?))@[az]+. gserviceaccount.com$|[0-9]{1,20}-compute@developer.gserviceaccount.com|az@[-a-z0-9\.]{1,63}\.iam\.gserviceaccount\.com $)"

這里有什么問題？

Answer 1

service_account_id是要應用策略的服務帳戶的完全限定名稱。

projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL

如何在 Terraform 中創建 GCP 工作負載身份 IAM 綁定？

問題描述

1 個解決方案

解決方案1
2 已采納 2022-08-12 07:54:29

如何在 Terraform 中創建 GCP 工作負載身份 IAM 綁定？

問題描述

1 個解決方案

解決方案1 2 已采納 2022-08-12 07:54:29

解決方案1
2 已采納 2022-08-12 07:54:29