具有服务帐户滞后日志记录角色日志的 GCP 资源
GCP Resource with service account lagging logging role logs
我在使用自定义服务帐户时在 GKE 集群下创建了一个节点池。当我创建这个服务帐户时,我没有将它与任何角色相关联。
资源(节点池)本身是在日志记录所需的范围内创建的。但是,使用的服务帐户没有日志记录策略,它仍然能够生成日志!
我的理解是,为了让资源拥有足够的权限,它应该将两者分层:
- 有要求的范围(或cloud_platform范围)
- 拥有符合所需政策的服务帐户。
有人可以解释一下吗?我错过了什么吗?我是 GCP 的新手。
我了解到与 GKE 集群关联的 ServiceAgent 需要生成日志的权限。因此,当 logging.write 作用域与集群内的 node_pool 相关联时,就可以开始记录了。
服务代理只不过是Google-managed 允许服务访问您的资源的服务帐户。这些对用户是隐藏的,在控制台上是看不到的,但在资源策略等地方是显而易见的。你可以阅读更多相关信息 here
我在使用自定义服务帐户时在 GKE 集群下创建了一个节点池。当我创建这个服务帐户时,我没有将它与任何角色相关联。
资源(节点池)本身是在日志记录所需的范围内创建的。但是,使用的服务帐户没有日志记录策略,它仍然能够生成日志!
我的理解是,为了让资源拥有足够的权限,它应该将两者分层:
- 有要求的范围(或cloud_platform范围)
- 拥有符合所需政策的服务帐户。
有人可以解释一下吗?我错过了什么吗?我是 GCP 的新手。
我了解到与 GKE 集群关联的 ServiceAgent 需要生成日志的权限。因此,当 logging.write 作用域与集群内的 node_pool 相关联时,就可以开始记录了。
服务代理只不过是Google-managed 允许服务访问您的资源的服务帐户。这些对用户是隐藏的,在控制台上是看不到的,但在资源策略等地方是显而易见的。你可以阅读更多相关信息 here