Google cloud platform 如何使用GCP服务帐户用户角色创建资源？_Google Cloud Platform_Service Accounts

Google cloud platform 如何使用GCP服务帐户用户角色创建资源？

google-cloud-platform

Google cloud platform 如何使用GCP服务帐户用户角色创建资源？,google-cloud-platform,service-accounts,Google Cloud Platform,Service Accounts,关于GCP文件：在服务帐户上授予服务帐户用户角色的用户可以使用该角色间接访问该服务帐户有权访问的所有资源。例如，如果服务帐户已被授予计算管理员角色（roles/Compute.Admin），则在该服务帐户上已被授予服务帐户用户角色（roles/iam.serviceAccountUser）的用户可以充当服务帐户来启动计算引擎实例。在此流中，用户模拟服务帐户以使用其授予的角色和权限执行任何任务所以我想试试这个功能：创建项目添加testuser@example.com授予项目并授予查看器角色

关于GCP文件：

在服务帐户上授予服务帐户用户角色的用户可以使用该角色间接访问该服务帐户有权访问的所有资源。例如，如果服务帐户已被授予计算管理员角色（roles/Compute.Admin），则在该服务帐户上已被授予服务帐户用户角色（roles/iam.serviceAccountUser）的用户可以充当服务帐户来启动计算引擎实例。在此流中，用户模拟服务帐户以使用其授予的角色和权限执行任何任务

所以我想试试这个功能：

创建项目

添加

testuser@example.com

授予项目并授予查看器角色

打开新浏览器，用

testuser

登录GCP控制台，确认用户只能查看实例，不能创建实例

添加服务帐户：

sa-name@project-id.iam.gserviceaccount.com

，并授予

计算管理员

角色，因此此服务帐户可以创建实例

授予<代码>testuser@example.com将

服务帐户用户

角色添加到此服务帐户

因此，根据上述GCP文件，我希望

testuser@example.com

可以创建实例，但

创建实例

按钮仍处于禁用状态

然后我同意

testuser@example.com

对于项目级别的

服务帐户用户

角色，仍然禁用

创建实例

按钮

那怎么了

我理解错了吗？授予<代码>testuser@example.com使用

服务帐户用户

角色时，testuser没有创建实例的能力

我做错什么了吗

如何通过

服务帐户用户创建实例

当您明确要求gcloud CLI使用非音素化时，模拟将与命令行一起工作。但是默认情况下它不是活动的，因此在GUI上不起作用

使用参数

--impersonate service account=

注意：您需要在项目级别为用户授予“服务使用消费者”角色，在服务帐户级别为用户授予“服务帐户令牌创建者”角色（如果您希望模拟项目的所有服务帐户，则在项目级别授予）。本部分的更多详细信息，当您明确要求gcloud CLI使用非音素化时，模拟将与命令行一起工作。但是默认情况下它不是活动的，因此在GUI上不起作用

使用参数

--impersonate service account=

注意：您需要在项目级别为用户授予“服务使用消费者”角色，在服务帐户级别为用户授予“服务帐户令牌创建者”角色（如果您希望模拟项目的所有服务帐户，则在项目级别授予）。此

IAM中的更多详细信息在SA上授予的权限不会通过传递方式授予用户。相反，您需要在命令中显式模拟SA。请参阅本文。在SA上授予的IAM权限不会通过传递方式授予用户。相反，您需要在命令中显式模拟SA。请看这篇文章。