Google cloud platform Vault GCP项目级角色绑定

我正在尝试应用下面的角色绑定，以将存储管理员角色授予Vault中的GCP角色集

resource "//cloudresourcemanager.googleapis.com/projects/{project_id_number}" {
  roles = [
    "roles/storage.admin"
  ]
}

我想授予对项目级别的访问权，而不是特定的bucket，以便GCP角色集可以访问和读/写Google容器注册表

尝试在Vault中创建此角色集时，出现以下错误：

将数据写入gcp/roleset/my roleset时出错：发出API请求时出错。
网址：PUThttp://127.0.0.1:8200/v1/gcp/roleset/my-角色集
代码：400。错误：
*无法设置策略：googleapi:错误403:调用方没有权限

我的Vault群集正在GKE群集中运行，该群集具有所有云API的OAuth作用域，我是项目所有者，Vault使用的服务帐户具有以下权限：

• 云KMS加密密钥加密/解密器
• 服务帐户参与者
• 服务帐户管理员
• 服务帐户密钥管理员
• 服务帐户令牌创建者
• 日志编写器
• 存储管理员
• 存储对象管理员

我已经尝试将编辑器和所有者角色都赋予服务帐户，但仍然得到相同的错误

首先，我是否使用了正确的资源为项目级别的存储管理员角色创建角色集

---

第二，如果是这样，是什么导致了这个许可错误

我之前已重新创建群集，并跳过了此步骤：

vault write gcp/config credentials=@credentials.json

添加密钥文件修复了此问题

---

还有一种可能是，按照以下步骤创建自定义角色并添加该自定义角色起到了一定作用。

我以前曾重新创建集群，并跳过了此步骤：

vault write gcp/config credentials=@credentials.json

添加密钥文件修复了此问题

还有一种可能是，按照创建自定义角色的步骤并添加该自定义角色起了作用