GCP - บทบาทใดที่ได้รับอนุญาต

Boppity Bop

3/11/22 13:42

ฉันไม่เข้าใจว่าทำไมการใช้ IAM จึงยากที่จะเข้าใจ ตัวอย่างเช่น ฉันกำลังพยายามสร้างกำหนดการสำหรับอินสแตนซ์ VM เมื่อฉันเพิ่มอินสแตนซ์ในกำหนดการ ฉันได้รับ:

บัญชีบริการระบบ Compute Engine [email protected]
ต้องมีสิทธิ์ [compute.instances.start,compute.instances.stop] เพื่อดำเนินการนี้

ฉันพบบัญชีใน IAM แต่ไม่รู้ว่าสิ่งเหล่านี้เกี่ยวข้องกับบทบาทใด ฉันควรเพิ่มบทบาทใด เพื่อให้บรรลุเป้าหมายนี้

ถ้าฉันพยายาม จีคลาวด์ ฉันได้รับข้อผิดพลาด:

โครงการ gcloud add-iam-policy-binding General-123456 \
    --member=user:[email protected] --role=roles/compute.instances.start

ข้อผิดพลาด: (gcloud.projects.add-iam-policy-binding) ผู้ใช้ [xxxxxx] ไม่มีสิทธิ์เข้าถึงโครงการ เช่น [ทั่วไป-123456:getIamPolicy] (หรืออาจไม่มีอยู่): ผู้โทรไม่ได้รับอนุญาต

ฉันเป็นเจ้าของบัญชีและโครงการทั้งหมด

ฉันควรทำอย่างไรกับมัน?

โดยทั่วไปแล้วขั้นตอนในการจัดการกับสิทธิ์ GCP คืออะไรเมื่อพวกเขาแสดงความชอบ someth.the.other.etc หรือ บางสิ่งไม่ถูกต้อง - จะระบุชื่อบทบาทที่ถูกต้องได้อย่างไร

783

1 + 0

สิทธิ์

google-compute-engine

google-cloud-platform

กูเกิลไอแอม

Score:3

Server

jabbson

3/11/22 17:21

หากต้องการค้นหาบทบาท ซึ่งมี compute.instances.start และ compute.instances.stop คุณสามารถไปที่รายการของบทบาทและกรองตามสิทธิ์เหล่านี้ (พิมพ์หนึ่งในช่องตัวกรอง)[1] สิ่งนี้จะสร้างบทบาทที่แตกต่างกันประมาณโหลซึ่งมีสิทธิ์ที่จำเป็น แต่บทบาทเริ่มต้นเหล่านี้จะกว้างมากตามจำนวนสิทธิ์ (เจ้าของ ผู้แก้ไข ผู้ดูแลระบบคอมพิวเตอร์) หรือออกแบบมาสำหรับงานอื่นๆ ที่ไม่เกี่ยวข้องกับอะไร คุณกำลังพยายามทำอยู่ (Cloud Dataflow Service Agent, Kubernetes Engine Service Agent)

ในกรณีของคุณ คุณสามารถสร้างบทบาทใหม่ (ตั้งชื่อว่า Instance Scheduler) [2] และกำหนดสิทธิ์เพียงสองสิทธิ์นี้ จากนั้นผูกบทบาทกับบัญชีบริการของคุณ

[1] https://cloud.google.com/iam/docs/creating-custom-roles#getting_the_role_metadata
[2] https://cloud.google.com/iam/docs/creating-custom-roles#creating_a_custom_role

0 + 2

Boppity Bop

3/11/22 17:27

สิ่งที่ฉันต้องการ - เหตุการณ์ที่เกิดขึ้นได้ยากใน SE วันนี้ :) ขอบคุณ!

ตอบกลับ

John Hanley

3/11/22 18:34

@BoppityBop นี่เป็นคำตอบที่ดี อีกทางเลือกหนึ่งคือการค้นหาโดย Google ด้วยชื่อสิทธิ์ ผลการค้นหารายการหนึ่งจะเป็นเพจที่แสดงรายการสิทธิ์นั้นและบทบาทที่มีสิทธิ์นั้น เมื่อฉันทำงานกับบริการใหม่ ฉันอ่านเอกสารประกอบ IAM สำหรับบริการนั้นเพื่อให้ฉันเข้าใจว่าจะต้องกำหนดค่าอะไร

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: GCP - which role a permission belongs?

TH: GCP - บทบาทใดที่ได้รับอนุญาต

RO: GCP - cărui rol îi aparține o permisiune?

RU: GCP — какой роли принадлежит разрешение?

VI: GCP - quyền thuộc về vai trò nào?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา