Google API Node.js 库 - 在项目级别向服务帐户授予角色

Question

目标

将角色 dialogflow.admin 分配给我使用 Google API 的 Node.js 客户端库为项目创建的服务帐户。

问题

当我尝试更新我的服务账户 IAM 政策并向服务账户添加角色时。我收到此资源类型不支持该角色的错误消息。

我正在尝试为我的服务帐户提供 Dialogflow API 管理员角色 roles/dialogflow.admin

我使用的Node.js客户端库中的方法是iam.projects.serviceAccounts.setIamPolicy。

我已经成功地使用这个 Node.js 客户端库创建了服务帐户，这里显示了一个函数。

async function createServiceAccount(projectID, serviceAccountID){
    const authClient = await auth.getClient();
    var request = {
        name: "projects/"+projectID,
        resource: {
        "accountId": serviceAccountID,
        "serviceAccount": {
            "description" : "Service Account for project: "+projectID+" for DialogFlow authentication with VA",
            "displayName": "VA Dialogflow Service Account "+projectID
        }
      },
      
      auth: authClient,
    };
  
    await iam.projects.serviceAccounts.create(request, function(err, response) {
      if (err) {
        console.error(err);
        return;
      }
       console.log(JSON.stringify(response, null, 2));
    });
}

在此函数运行后，并且我确定服务帐户已创建，我运行我的 函数，该函数旨在设置此服务帐户的角色。

async function setServiceAccountRoles(projectID, serviceAccountID){
    const authClient = await auth.getClient();
    var request = {
        resource_: "projects/"+projectID+"/serviceAccounts/"+serviceAccountID,
        resource: {
            policy: {
                bindings: [
                    {
                        // role: "projects/"+projectID+"roles/dialogflow.admin",
                        role: "roles/dialogflow.admin",
                        "members": [
                            "serviceAccount:"+serviceAccountID
                        ]
                    }
                    ],
                    version: 1
            }
        },
      
      auth: authClient,
    };
  
    await iam.projects.serviceAccounts.setIamPolicy(request, function(err, response) {
      if (err) {
        console.error(err);
        return;
      }
       console.log(JSON.stringify(response, null, 2));
    });
}

错误

当我运行这个函数时，我给出了这个错误：

  code: 400,
  errors: [
    {
      message: 'Role roles/dialogflow.admin is not supported for this resource.',
      domain: 'global',
      reason: 'badRequest'
    }
  ]

我已经使用以下这些资源来做到这一点： https://cloud.google.com/iam/docs/reference/rest/v1/projects.serviceAccounts/setIamPolicy

https://cloud.google.com/iam/docs/reference/rest/v1/Policy

https://cloud.google.com/iam/docs/granting-changing-revoking-access#granting_access_to_a_service_account_for_a_resource

替代方法。

我尝试将角色更改为项目特定路径，如下所示：

async function setServiceAccountRoles(projectID, serviceAccountID){
    const authClient = await auth.getClient();
    var request = {
        resource_: "projects/"+projectID+"/serviceAccounts/"+serviceAccountID,
        resource: {
            policy: {
                bindings: [
                    {
                        role: "projects/"+projectID+"roles/dialogflow.admin",
                        "members": [
                            "serviceAccount:"+serviceAccountID
                        ]
                    }
                    ],
                    version: 1
            }
        },
      
      auth: authClient,
    };
  
    await iam.projects.serviceAccounts.setIamPolicy(request, function(err, response) {
      if (err) {
        console.error(err);
        return;
      }
       console.log(JSON.stringify(response, null, 2));
    });
}

但是，我得到了错误：message: "Role (projects/va-9986d601/roles/dialogflow.admin) does not exist in the resource's hierarchy.",

是否可以通过控制台或 gcloud 命令更新我的服务帐户的角色和权限？如果是这样，是否有任何推荐的方式通过 node.js 客户端库或从节点应用程序本身运行所述 gcloud 命令？

Answer 1

您正尝试在 服务帐号 上设置 IAM 政策。这用于授予其他身份访问服务帐户本身的权限。

您应该修改项目的 IAM 绑定，而不是服务帐户。

使用getIamPolicy 和setIamPolicy。文档中包含示例。

警告：在编写修改项目绑定的代码时要非常小心。如果您覆盖绑定，您可以轻松地将自己锁定在项目之外。然后，您需要向 Google Cloud Support 开具付费支持票证。练习一次性项目。