Google cloud platform 具有足够访问权限的服务帐户的权限被拒绝

我有一个服务帐户的问题，它的角色被称为抢占杀手

该角色绑定到此服务帐户，我甚至为其提供了用于调试的“编辑器”访问权限

我有一个单独的项目，我仔细检查了名称是否正确

当我点击delete实例API时得到403时，我遇到了一个问题。如果我去政策疑难解答，我可以看到，在理论上，它有适当的访问量

为可抢占killer@{project}.iam.gserviceaccount.com、compute.instances.delete、instances/{instance}的API调用授予访问权限

然而，当从我的K8s集群节点调用它时，我得到一个403。以下是意外的403、服务帐户和角色屏幕截图。我肯定错过了一些我不知道是什么

这就是角色：

这是附加到服务帐户的自定义角色+编辑器角色

---

我最终创建了另一个服务帐户，并附加了完全相同的角色，它可以正常工作，简直就是一个克隆

---

老实说，我不确定这是GCP错误还是我遗漏了什么。

如果您删除了SA，然后用相同的名称重新创建它，但没有对IAM进行任何更改，请记住，在GCP后端，这是一个完全不同的SA，即使名称完全相同。仅供参考

如果使用gcloud作为服务帐户进行身份验证，然后尝试运行gcloud命令删除实例，会发生什么情况。它有用吗？理想情况下，可以在GKE内的pod内的容器中尝试，但如果不是，云控制台仍然是一个开始测试。@Kolban刚刚尝试了您的建议。我试图使用gcloud身份验证作为服务帐户从本地计算机上删除一个实例。我也犯了同样的错误。我不确定我遗漏了什么，在我看来，这个角色已经分配好了，等等。我肯定遗漏了什么。这很好，因为它消除了许多虚假的可能性。现在让我们看看你们目前的政策。。。阅读以下内容并开始发布项目的转储策略。我编辑了其他角色，因为我认为我们不需要他们，但以下是我看到的我们正在寻找的角色。将它们作为编辑添加到主问题中。是否在群集上激活了工作负载标识？

❯ gcloud projects get-iam-policy {project}
bindings:
- members:
  - serviceAccount:preemptible-killer@{project}.iam.gserviceaccount.com
  role: projects/{project}/roles/preemptible_killer
- members:
  - serviceAccount:preemptible-killer@{project}.iam.gserviceaccount.com
  role: roles/editor