Tài khoản dịch vụ không có storage.buckets.get quyền truy cập vào bộ chứa Google Cloud Storage

Tôi đang chạy Ansible với một dịch vụ có cấu hình sau sẽ tạo bộ chứa lưu trữ trên Google Cloud.

- tên: "Tạo {{ environ.name }}-cluster-backups"
  google.cloud.gcp_storage_bucket:
    tên: "zeipt-io-{{ environ.name }}-cluster-backups"
    vị trí: "{{ google_cloud.region }}"
    storage_class: "NEARLINE"
    vòng đời:
      quy tắc:
        - điều kiện, tình trạng, trạng thái:
            tuổi_ngày: 28
          hoạt động:
            gõ: "Xóa"
    dự án: "{{google_cloud.project }}"
    auth_kind: "{{ google_cloud.auth_kind }}"
    service_account_file: "{{ google_cloud.service_account_file }}"
    trạng thái: hiện tại

Cái nào đưa ra lỗi

gây tử vong: [localhost]: KHÔNG THÀNH CÔNG! => {"đã thay đổi": sai, "thông điệp": "Lỗi trả về GCP: {'lỗi': {'mã': 403, 'thông báo': '[email protected] không có bộ nhớ .buckets.get quyền truy cập vào bộ chứa Google Cloud Storage.', 'errors': [{'message': '[email protected] không có storage.buckets.get quyền truy cập vào Google Cloud Storage xô.', 'miền': 'toàn cầu', 'lý do': 'bị cấm'}]}}"}

Tôi hiểu lỗi nhưng tôi đã kiểm tra các vai trò được chỉ định cho người dùng này như vậy

dự án gcloud get-iam-policy staging-environment --flatten="bindings[].members" --format='table(bindings.role)' --filter="bindings.members:[email protected]. gserviceaccount.com"
VAI TRÒ
vai trò/chủ sở hữu
vai trò/lưu trữ.admin
vai trò/lưu trữ.objectAdmin
vai trò/storage.objectCreator
vai trò/lưu trữ.objectViewer

vai trò/lưu trữ.admin phải đáp ứng yêu cầu khi tôi kiểm tra Trang vai trò Google Cloud IAM trong đó nói rằng vai trò này có lưu trữ.buckets.* sự cho phép.

Tôi không hiểu tại sao tôi vẫn nhận được lỗi tương tự?

Tôi hiểu rằng một số thành viên của cộng đồng đã cung cấp cho bạn một số giải pháp để giải quyết vấn đề của bạn, nhưng dường như không có giải pháp nào hữu ích cho vấn đề của bạn.Ngoài ra, tôi hiểu rằng bạn đang sử dụng GCP để tạo tài khoản dịch vụ và gán vai trò.

Có lẽ bạn có thể thử tạo tài khoản dịch vụ và các vai trò cho tài khoản dịch vụ từ ansible và kiểm tra xem nó có hoạt động không.

Bạn có thể tạo tài khoản dịch vụ bằng plugin này google.cloud.gcp_iam_service_account â Tạo Tài khoản dịch vụ GCP

Ví dụ:

- name: tạo tài khoản dịch vụ
  google.cloud.gcp_iam_service_account:
    tên: sa-{{ resource_name.split("-")[-1] }}@graphite-playground.google.com.iam.gserviceaccount.com
    display_name: Khóa kiểm tra Ansible của tôi
    dự án: test_project
    auth_kind: tài khoản dịch vụ
    service_account_file: "/tmp/auth.pem"
    trạng thái: hiện tại

Và bạn có thể chỉ định vai trò bằng cách sử dụng plugin google.cloud.gcp_iam_role â Tạo Vai trò GCP

Ví dụ:

- tên: tạo vai trò
  google.cloud.gcp_iam_role:
    tên: myCustomRole2
    tiêu đề: Vai trò tùy chỉnh của tôi
    mô tả: Mô tả vai trò tùy chỉnh của tôi
    bao gồm_permissions:
    - iam.roles.list
    - iam.roles.create
    - iam.roles.delete
    dự án: test_project
    auth_kind: tài khoản dịch vụ
    service_account_file: "/tmp/auth.pem"
    trạng thái: hiện tại

Hãy nhớ rằng các plugin này là một phần của bộ sưu tập google.cloud, sẽ được cài đặt nếu bạn đang sử dụng gói ansible.