Google cloud platform Vault GCP项目级角色绑定
我正在尝试应用下面的角色绑定,以将存储管理员角色授予Vault中的GCP角色集Google cloud platform Vault GCP项目级角色绑定,google-cloud-platform,hashicorp-vault,google-iam,Google Cloud Platform,Hashicorp Vault,Google Iam,我正在尝试应用下面的角色绑定,以将存储管理员角色授予Vault中的GCP角色集 resource "//cloudresourcemanager.googleapis.com/projects/{project_id_number}" { roles = [ "roles/storage.admin" ] } 我想授予对项目级别的访问权,而不是特定的bucket,以便GCP角色集可以访问和读/写Google容器注册表 尝试在Vault中创建此角色集时,出现以下错误: 将数据写入
resource "//cloudresourcemanager.googleapis.com/projects/{project_id_number}" {
roles = [
"roles/storage.admin"
]
}
我想授予对项目级别的访问权,而不是特定的bucket,以便GCP角色集可以访问和读/写Google容器注册表
尝试在Vault中创建此角色集时,出现以下错误:
将数据写入gcp/roleset/my roleset时出错:发出API请求时出错。
网址:PUThttp://127.0.0.1:8200/v1/gcp/roleset/my-角色集
代码:400。错误:
*无法设置策略:googleapi:错误403:调用方没有权限
我的Vault群集正在GKE群集中运行,该群集具有所有云API的OAuth作用域,我是项目所有者,Vault使用的服务帐户具有以下权限:
- 云KMS加密密钥加密/解密器
- 服务帐户参与者
- 服务帐户管理员
- 服务帐户密钥管理员
- 服务帐户令牌创建者
- 日志编写器
- 存储管理员
- 存储对象管理员
第二,如果是这样,是什么导致了这个许可错误 我之前已重新创建群集,并跳过了此步骤:
vault write gcp/config credentials=@credentials.json
添加密钥文件修复了此问题
还有一种可能是,按照以下步骤创建自定义角色并添加该自定义角色起到了一定作用。我以前曾重新创建集群,并跳过了此步骤:
vault write gcp/config credentials=@credentials.json
添加密钥文件修复了此问题
还有一种可能是,按照创建自定义角色的步骤并添加该自定义角色起了作用