使用google_service_account_iam_binding 使服务帐户能够执行我应该使用google_project_iam_binding 的各种事情,这似乎是一个相当常见的错误。我现在一切正常,但我想了解 google_service_account_iam_* 资源的实际用途是什么?我真的找不到任何文档来解释您将在什么情况下使用它们。
【问题讨论】:
标签: google-cloud-platform terraform terraform-provider-gcp
身份(技术和服务身份)中的服务帐户,但也是资源。例如,您可以在服务帐户上授予用户或其他服务帐户,以允许他们模拟服务帐户(例如角色:服务帐户用户)。
如果您在项目中授予相同的角色,则您允许用户或服务帐户模拟项目中的所有服务帐户,这可能过于宽泛。
编辑 1
让我们举个例子:您想在 Compute Engine 实例上授予服务帐号一些角色。
您可以使用google_compute_instance_iam 在项目级别(以有权访问项目中的所有计算引擎实例)或资源级别(此特定的计算引擎实例)授予服务帐户。
对于服务帐户,情况相同。您可以授予另一个服务帐户(或用户帐户)对服务帐户的某些权限。
您可以在项目级别(以访问项目中的所有服务帐户)或资源级别(此特定服务帐户)授予另一个服务帐户(或用户帐户)。
这在您想充当服务帐户时很有用,例如模拟它。您不想授予模拟所有服务帐户的权限,而只授予一个。
【讨论】:
google_project_iam_binding 将合适的角色绑定到该服务帐户,什么是我会使用google_service_account_iam_binding的场景?