GCP PubSub 不尊重继承的权限
GCP PubSub not honoring inherited permissions
我的一些服务帐户在尝试 publish/subscribe 到 PubSub 时遇到 403(用户未授权)错误。它似乎不尊重项目级别 IAM 的 "Inherited" 权限。
我已验证服务帐户对 PubSub 订阅者和查看者具有 IAM 权限;当我检查主题和订阅时,他们将服务帐户列为 "Inherited" 类型。如果我手动将服务帐户添加到来自 PubSub 控制台的相同权限,UI 将其列为 "Mixed" 然后它就可以工作了。
背景 - 它之前是工作的!
奇怪的是这之前运行良好。我昨天不小心删除了这些相同的服务帐户。我以相同的方式重新创建它们,以相同的方式设置权限,但它不起作用。此外,未删除的帐户仍然可以使用 "Inherited" 权限。
我尝试过的其他一些事情:
- 使用与删除名称不同的名称创建服务帐户 - 无效
- 在创建服务帐户并授予它们项目范围的权限后重新创建topics/subs - 没有用
从长远来看,我想我更愿意根据 Topic/Sub 控制权限;但我仍然感到困惑,为什么这不起作用或者我做错了什么。
当前删除和重新创建服务帐户时,project-level 权限似乎存在限制。新创建的服务帐户的权限不会按预期传播。
如果服务帐户是用不同的名称创建的,继承的权限应该可以正常工作。请注意,权限传播不是立即的,可能会有延迟。您可能需要等待 a few minutes 才能看到反映的更改。
如需进一步帮助,您可能需要联系 Cloud 支持,以便他们了解您的具体情况。
我的一些服务帐户在尝试 publish/subscribe 到 PubSub 时遇到 403(用户未授权)错误。它似乎不尊重项目级别 IAM 的 "Inherited" 权限。
我已验证服务帐户对 PubSub 订阅者和查看者具有 IAM 权限;当我检查主题和订阅时,他们将服务帐户列为 "Inherited" 类型。如果我手动将服务帐户添加到来自 PubSub 控制台的相同权限,UI 将其列为 "Mixed" 然后它就可以工作了。
背景 - 它之前是工作的!
奇怪的是这之前运行良好。我昨天不小心删除了这些相同的服务帐户。我以相同的方式重新创建它们,以相同的方式设置权限,但它不起作用。此外,未删除的帐户仍然可以使用 "Inherited" 权限。
我尝试过的其他一些事情:
- 使用与删除名称不同的名称创建服务帐户 - 无效
- 在创建服务帐户并授予它们项目范围的权限后重新创建topics/subs - 没有用
从长远来看,我想我更愿意根据 Topic/Sub 控制权限;但我仍然感到困惑,为什么这不起作用或者我做错了什么。
当前删除和重新创建服务帐户时,project-level 权限似乎存在限制。新创建的服务帐户的权限不会按预期传播。
如果服务帐户是用不同的名称创建的,继承的权限应该可以正常工作。请注意,权限传播不是立即的,可能会有延迟。您可能需要等待 a few minutes 才能看到反映的更改。
如需进一步帮助,您可能需要联系 Cloud 支持,以便他们了解您的具体情况。