使用 REST API 向 Google Cloud Platform 上的服务帐户添加角色

Question

我想使用调用 REST API 的 python 脚本在 GCP 上创建一个服务帐户，然后赋予它特定的角色 - 最好是 these，例如 roles/logging.logWriter。

首先我向create the account 发出请求，它工作正常，我可以在控制台/IAM 中看到该帐户。
其次，我想赋予它角色，this 似乎是正确的方法。但是，它不接受roles/logging.logWriter，说HttpError 400，"Role roles/logging.logWriter is not supported for this resource.">
相反，如果我在控制台中设置所需的策略，然后尝试getIamPolicy 方法（使用 gcloud 工具），我得到的只是响应etag: ACAB，没有提及我设置的实际角色。因此，我认为这些角色指的是不同的事物。

知道如何使用 API 为服务帐户编写角色/范围脚本吗？

Answer 1

您可以在 GCP 项目中向 GCP 服务帐号授予权限，而无需重写整个项目政策！

为此使用gcloud projects add-iam-policy-binding ... 命令 (docs)。

例如，给定环境变量 GCP_PROJECT_ID 和 GCP_SVC_ACC，以下命令会将 container.admin 角色中的所有权限授予所选服务帐户：

gcloud projects add-iam-policy-binding ${GCP_PROJECT_ID} \
    --member=serviceAccount:${GCP_SVC_ACC}
    --role=roles/container.admin

回顾你所做的：

$ gcloud projects get-iam-policy $GCP_PROJECT_ID \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:${GCP_SVC_ACC}"

输出：

ROLE
roles/container.admin

（或更多角色，如果之前已授予）

注意事项：

• 环境变量 GCP_SVC_ACC 应包含服务帐户的电子邮件符号。
• 感谢 this answer 提供格式精美的读数。

Answer 2

您似乎正在尝试在服务帐户（作为资源）上设置角色。那是为了设置谁可以使用服务帐户。

如果您想为服务帐户（作为身份）赋予项目及其资源的特定角色，请参阅此方法：https://cloud.google.com/resource-manager/reference/rest/v1/projects/setIamPolicy