Как изменить существующую область доступа учетной записи службы Google Cloud Platform?
У меня есть учетная запись службы, которая назначена моим экземплярам GCE и указана как активная, что я могу проверить, запустив список авторизации gcloud на любом из экземпляры. У учетной записи службы в настоящее время есть доступ Google Cloud API к нескольким службам. Я хочу обновить этот доступ, чтобы учетная запись службы могла читать информацию о зоне / наборе записей из Google Cloud DNS.
I ' Мы просмотрели документацию по учетным записям служб и редактировали их доступ, а также пытались отредактировать разрешения учетной записи службы в GCP, но я не нашел прямого способа добавить доступ к Google Cloud DNS специально или Google Cloud Networking, который будет включать DNS. Разрешения учетной записи службы могут быть установлены как моя собственная учетная запись пользователя и назначена роль владельца / редактора, но я бы предпочел предоставить только дополнительный доступ, который потребуется учетной записи службы для Google Cloud DNS.
Любая помощь или понимание будут очень признателен, спасибо!
- В консоли Google перейдите в раздел «IAM & Admin»
- В левой панели навигации нажмите " IAM "
- Найдите свою учетную запись службы в списке справа.
- Щелкните раскрывающееся меню в столбце« Роль (и) », чтобы выбрать роль для учетной записи службы.
Я считаю, что со временем вы сможете сделать это, используя разрешения IAM. На данный момент я не вижу возможности добавить роли облачного DNS в IAM Console . Для авторизации запросов к Cloud DNS вы должны использовать одну из областей, описанных в этой статье .
т.е.
https://www.googleapis.com/auth/ndev.clouddns.readwrite
https://cloud.google.com/dns/api/authorization
Если вы используете учетную запись службы по умолчанию , область должен быть определен во время создания виртуальной машины в флаге области.
т.е.
gcloud compute --project "Myproject" instances create "instance-8" --zone "us-central1-f" --machine-type "n1-standard-1" --network "default" --maintenance-policy "MIGRATE" --scopes default="https://www.googleapis.com/auth/devstorage.full_control","https://www.googleapis.com/auth/ndev.clouddns.readwrite" --image "/debian-cloud/debian-8-jessie-v20161020" --boot-disk-size "10" --boot-disk-type "pd-standard" --boot-disk-device-name "instance-8"
Если вы связали виртуальную машину с учетной записью службы, отличной от используемой по умолчанию во время ее создания, вы можете добавить разрешения Редактор или Владелец эту учетную запись в консоли IAM. Тем не менее, это может обеспечить более широкий охват, чем тот, который вы ищете.
У меня возникли проблемы с доступом к Storage API, поэтому я понял, что проблема связана с областями. Проведя небольшое исследование, я нашел, где это изменить.
Вы должны отредактировать «область действия» для текущей «Учетной записи службы», она была установлена при создании виртуальной машины, и значение по умолчанию довольно ограничительное:
- Перейти к вычислению Экземпляры ядра / ВМ
- Найдите свою ВМ и выберите ее (установите флажок)
- Убедитесь, что она остановлена (в противном случае нажмите «Остановить»)
- Нажмите ее имя
- Нажмите «Изменить»
- Прокрутите вниз, пока не найдете «Учетная запись службы»
- Там должно быть написано «Область по умолчанию», измените значение на «Разрешить полный доступ ко всем облачным API»
Вот и все!