如何授予服务帐户对两个项目的访问权限?

【问题标题】:How to give service account access to two projects?如何授予服务帐户对两个项目的访问权限?
【发布时间】:2020-07-16 11:36:23
【问题描述】:

使用 Google Cloud,存在一个查询两个项目的 BigQuery View 表。

但是,对于视图所在的项目,我们希望从 Airflow/Composer 对其运行查询。目前它以 403 失败。

AFAIK 它将使用默认的作曲家服务帐户 - 但是它无权访问视图 sql 中使用的第二个项目。

如何让作曲家的服务帐户访问第二个项目?

【问题讨论】:

    标签: google-cloud-platform google-cloud-iam


    【解决方案1】:

    考虑像用户帐户一样的服务帐户:您有一个用户电子邮件,您在不同的项目和组件上授权。与服务帐户电子邮件完全相同。

    服务帐号属于一个项目。用户帐户属于域名/组织。最后没有真正的区别。

    因此,您可以像使用任何用户帐户一样使用服务帐户电子邮件:

    • 在任何项目中授予授权
    • 将其添加到 Google 网上论坛
    • 甚至授予它查看或编辑 GSuite 文档(表格、文档、幻灯片等)的角色,以允许它访问和阅读/更新这些文档!像任何用户一样!

    编辑

    使用 Airflow,您可以defined connexions and a default connexion。您可以在 DAG 中使用此连接,从而使用所需的服务帐户。

    【讨论】:

    • 但是composer服务帐号不是由谷歌管理的吗?我在 IAM 列表中没有看到它。
    • 我更新了我的答案。您可以使用 Airflow 管理您的连接
    【解决方案2】:

    我认为您必须将服务帐户添加到项目 IAM 中。

    【讨论】:

    • 但是composer服务帐号不是由谷歌管理的吗?我在 IAM 列表中没有看到它。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-21
    • 1970-01-01
    • 1970-01-01
    • 2021-04-08
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode