【发布时间】:2021-07-09 17:00:09
【问题描述】:
我正在尝试创建一个服务项目并将宿主项目中的现有共享 VPC 附加到它。
使用我的 IAM 凭证时,我可以执行此操作。以下是文件夹的权限:
- 项目计费经理
- 计算共享 VPC 管理员
- 所有者
- 文件夹管理
- 文件夹编辑器
- 项目创建者
- 项目删除器
这是服务帐户对包含主机和服务项目的文件夹的权限。
- 项目计费经理
- 计算管理员
- 计算网络管理员
- 计算共享 VPC 管理员
- Kubernetes 引擎管理员
- 安全管理员
- 服务帐号用户
- 所有者
- 文件夹管理
- 项目创建者
- 项目删除器
- 项目 IAM 管理员
不知道为什么我在尝试使用服务帐户执行操作时收到以下错误。
module.svc_project.module.project_factory.module.project-factory.google_compute_shared_vpc_service_project.shared_vpc_attachment[0]: Creating...
Error: googleapi: Error 403: Required 'compute.organizations.enableXpnResource' permission for 'projects/host-project-a1b2c3'
More details:
Reason: forbidden, Message: Required 'compute.organizations.enableXpnResource' permission for 'projects/host-project-a1b2c3'
Reason: forbidden, Message: Required 'compute.organizations.enableXpnResource' permission for 'projects/svc-prj1-n1p2'
on .terraform/modules/svc_project.project_factory/modules/core_project_factory/main.tf line 103, in resource "google_compute_shared_vpc_service_project" "shared_vpc_attachment":
103: resource "google_compute_shared_vpc_service_project" "shared_vpc_attachment" {
环境
- 地形:0.14.6
- project_factory 模块:“terraform-google-modules/project-factory/google”(版本 10.1.1)
非常感谢任何帮助。
【问题讨论】:
-
您需要在组织级别而不是文件夹或项目级别添加角色
roles/compute.xpnAdmin。 -
在文件夹级别使用“共享 VPC 管理员”角色目前处于测试阶段,当使用 API 或 gcloud 在共享 VPC 上进行创建时,您需要使用“gcloud beta”或beta API,否则会出现权限错误 [1]。共享 VPC [2] 目前处于测试阶段,如果对 Terraform 进行了任何可能影响其与共享 VPC 权限交互的更改。 [1] cloud.google.com/vpc/docs/… [2] cloud.google.com/vpc/docs/shared-vpc#iam_in_shared_vpc
-
原来只有文件夹级别的权限就足够了。
标签: google-cloud-platform terraform