Google cloud platform 找不到从接收器创建的服务帐户_Google Cloud Platform_Google Cloud Storage

Google cloud platform 找不到从接收器创建的服务帐户

google-cloud-platform google-cloud-storage

Google cloud platform 找不到从接收器创建的服务帐户,google-cloud-platform,google-cloud-storage,Google Cloud Platform,Google Cloud Storage,我正在以组织管理员的身份运行以下命令来创建接收器： gcloud日志记录接收器创建vpc\u flow\u sink storage.googleapis.com/--包括子项--组织=--log filter=“resource.type=“gce\u subnetwork”和logName:“logs/compute.googleapis.com%2Fvpc\u flows” 命令成功执行并输出以下文本： Created [https://logging.googleapis.com/v2

我正在以组织管理员的身份运行以下命令来创建接收器：

gcloud日志记录接收器创建vpc\u flow\u sink storage.googleapis.com/--包括子项--组织=--log filter=“resource.type=“gce\u subnetwork”和logName:“logs/compute.googleapis.com%2Fvpc\u flows”

命令成功执行并输出以下文本：

Created [https://logging.googleapis.com/v2/organizations/<organization_id>/sinks/<sink_name>].
Please remember to grant serviceAccount:o<organization_id>-511237@gcp-sa-logging.iam.gserviceaccount.com the Storage Object Creator role on the bucket.

已创建[https://logging.googleapis.com/v2/organizations//sinks/].
请记住授予serviceAccount:o-511237@gcp-sa-logging.iam.gserviceaccount.com存储桶上的存储对象创建者角色。

但是，当我实际将权限应用于存储桶时，我找不到该帐户（在项目中或在组织内）。当我运行时，这些帐户也不会出现：

gcloud organizations get-iam-policy <organization_id>

gcloud组织获取iam策略

当我描述接收器时，服务帐户存在于writerIdentity字段中：

gcloud beta logging sinks describe vpc_flow_sink --organization <organization_id>
...
writerIdentity: serviceAccount:o<organization_id>-511237@gcp-sa-logging.iam.gserviceaccount.com
...

gcloud beta日志记录接收器描述vpc\u流程\u接收器--组织
...
writerIdentity:服务帐户：o-511237@gcp-sa-logging.iam.gserviceaccount.com
...

为了便于参考，为了尝试调试此问题，我附加了以下角色：组织角色管理员、日志管理员、所有者、项目所有者、组织管理员、存储管理员

我真的不知道该怎么做，我该如何将bucket角色授予此帐户？

当向您的导出目的地应用权限时，不要复制：

serviceAccount:o-511237@gcp-sa logging.iam.gserviceaccount.com

但只需在

serviceCount:

o-511237@gcp-sa logging.iam.gserviceaccount.com

谷歌随后将识别该服务帐户。但是，我仍然无法通过

gcloud organizations get iam policy

检测到它。向您的导出目标应用权限时，请勿复制：

serviceAccount:o-511237@gcp-sa logging.iam.gserviceaccount.com

但只需在

serviceCount:

o-511237@gcp-sa logging.iam.gserviceaccount.com

谷歌随后将识别该服务帐户。但是，我仍然无法通过

gcloud组织获取iam策略检测到它（1/2）我不确定您的情况，但这里有一些提示。服务帐户存在于Google云控制台的自己部分中。在IAM部分中手动授予他们权限后，他们将出现。服务帐户可以存在于项目、文件夹或组织级别。在您的情况下，您可能会在组织级别的服务帐户下找到服务帐户。登录到谷歌云控制台。去找我。在“Google Cloud Platform”旁边的顶部附近，您将看到您的项目ID。单击向下箭头并选择您的组织（它有建筑图标）。2/2）如果您在IAM部分没有看到您的服务帐户，请单击“添加”按钮。使用问题中显示的电子邮件地址添加服务帐户。然后批准你需要的政策。注：更正我之前的评论。“服务帐户可以在项目、文件夹或组织级别以及这些级别的组合中分配角色”。我不认为可以在组织级别的控制台中查看服务帐户。谷歌表示，“组织无法查看页面。若要查看此页面，请选择一个项目。”@Robert找到答案了吗？1/2）我不确定你的情况，但这里有一些提示。服务帐户存在于Google云控制台的自己部分中。在IAM部分中手动授予他们权限后，他们将出现。服务帐户可以存在于项目、文件夹或组织级别。在您的情况下，您可能会在组织级别的服务帐户下找到服务帐户。登录到谷歌云控制台。去找我。在“Google Cloud Platform”旁边的顶部附近，您将看到您的项目ID。单击向下箭头并选择您的组织（它有建筑图标）。2/2）如果您在IAM部分没有看到您的服务帐户，请单击“添加”按钮。使用问题中显示的电子邮件地址添加服务帐户。然后批准你需要的政策。注：更正我之前的评论。“服务帐户可以在项目、文件夹或组织级别以及这些级别的组合中分配角色”。我不认为可以在组织级别的控制台中查看服务帐户。谷歌表示，“组织无法查看该页面。若要查看该页面，请选择一个项目。”@Robert找到答案了吗？
gcloud beta logging sinks describe vpc_flow_sink --organization <organization_id>
...
writerIdentity: serviceAccount:o<organization_id>-511237@gcp-sa-logging.iam.gserviceaccount.com
...