启用 API 时未创建 GCP Pub/Sub 默认服务帐户
GCP Pub/Sub default service account is not getting created when enabling the API
我们的 GCP 帐户中有两个项目;目前,一个用于我们的开发环境,一个用于我们的测试环境。 Terraform 管理着我们的大部分基础设施,因此我们对 GUI 或 CLI 命令的点击次数最少。
我假设我们通过在我们的两个环境中使用 Terraform 部署到它来启用 Pub/Sub API,尽管我们可能需要手动执行此操作。我们注意到 Google 在我们的开发环境中为我们创建了一个默认的 Pub/Sub 服务帐户,但在我们的测试环境中没有。 This docs page suggests it should make this service account.
此外,我们注意到多个 Pub/Sub 订阅有效,显然没有任何服务帐户。我们认为只有这个特定的订阅才需要服务帐户,因为它是对电子邮件服务器的推送。因此,它需要一个具有 'Service Account Token Creator' 角色的服务帐户。
我们已尝试重新部署整个基础架构和 disable/re-enable Pub/Sub API。似乎都没有将 GCP 踢到创建服务帐户。除此之外,我们还尝试手动创建默认服务帐户。不过,GCP 限制了用户可以自己为服务帐户命名的名称,因此我们无法创建具有 Pub/Sub 服务期望的名称的服务帐户。
我们想知道是否有一些我们可能遗漏的项目配置,或者是否有人以前看过这个?
是不存在还是没看到?
我很确定它存在,但没有授予任何角色,而且您在 UI 中看不到它。尝试在此默认服务帐户上授予角色,它会出现在 IAM 页面中!
我们的 GCP 帐户中有两个项目;目前,一个用于我们的开发环境,一个用于我们的测试环境。 Terraform 管理着我们的大部分基础设施,因此我们对 GUI 或 CLI 命令的点击次数最少。
我假设我们通过在我们的两个环境中使用 Terraform 部署到它来启用 Pub/Sub API,尽管我们可能需要手动执行此操作。我们注意到 Google 在我们的开发环境中为我们创建了一个默认的 Pub/Sub 服务帐户,但在我们的测试环境中没有。 This docs page suggests it should make this service account.
此外,我们注意到多个 Pub/Sub 订阅有效,显然没有任何服务帐户。我们认为只有这个特定的订阅才需要服务帐户,因为它是对电子邮件服务器的推送。因此,它需要一个具有 'Service Account Token Creator' 角色的服务帐户。
我们已尝试重新部署整个基础架构和 disable/re-enable Pub/Sub API。似乎都没有将 GCP 踢到创建服务帐户。除此之外,我们还尝试手动创建默认服务帐户。不过,GCP 限制了用户可以自己为服务帐户命名的名称,因此我们无法创建具有 Pub/Sub 服务期望的名称的服务帐户。
我们想知道是否有一些我们可能遗漏的项目配置,或者是否有人以前看过这个?
是不存在还是没看到?
我很确定它存在,但没有授予任何角色,而且您在 UI 中看不到它。尝试在此默认服务帐户上授予角色,它会出现在 IAM 页面中!