GCP 服务帐号无法读取组织或结算帐号
GCP service account can't read organisation or billing account
我认为这是一个权限问题。我正在尝试在 Google Cloud Build 中 运行 terraform,它在其构建器映像中使用应用程序默认凭证。
凭据是 Cloud Build 服务帐户 - 很简单。
在我的 Terraform 代码中,我有一些 data 加载当前组织和计费帐户数据的查询 - 当我尝试在 Cloud Build 上应用时,这些查询失败了。
我已经为服务帐户提供了 Organization Admin、Project Owner 和 Project Billing Manager 角色,但似乎没有任何改变。
我想也许我可以为具有管理员角色的服务帐户创建组织 iam 成员资格 - 但是当我尝试 运行 它时(在本地,在我自己的 gcloud 终端中)我得到 403 -来电者没有权限,禁止。
我在这里遗漏了什么,这是服务帐户的限制吗?
原来G Suite组织和GCP组织其实是一回事。尽管我已经为组织激活了 GCP,但我不是所有者,也不是管理员。
一旦我的客户授予我对组织的管理员权限,我就能够创建我需要的 IAM 角色。
我认为这是一个权限问题。我正在尝试在 Google Cloud Build 中 运行 terraform,它在其构建器映像中使用应用程序默认凭证。
凭据是 Cloud Build 服务帐户 - 很简单。
在我的 Terraform 代码中,我有一些 data 加载当前组织和计费帐户数据的查询 - 当我尝试在 Cloud Build 上应用时,这些查询失败了。
我已经为服务帐户提供了 Organization Admin、Project Owner 和 Project Billing Manager 角色,但似乎没有任何改变。
我想也许我可以为具有管理员角色的服务帐户创建组织 iam 成员资格 - 但是当我尝试 运行 它时(在本地,在我自己的 gcloud 终端中)我得到 403 -来电者没有权限,禁止。
我在这里遗漏了什么,这是服务帐户的限制吗?
原来G Suite组织和GCP组织其实是一回事。尽管我已经为组织激活了 GCP,但我不是所有者,也不是管理员。
一旦我的客户授予我对组织的管理员权限,我就能够创建我需要的 IAM 角色。