Permissions gcp上的kubernetes:角色已删除，帐户已消失如何恢复权限？

在“强化”帐户的同时-即删除或调低具有项目编辑器权限的帐户，我从容器引擎在

gcloud

命令后端使用的kubernetes帐户中删除了editor

一旦你从帐户中删除了最后一个角色，它就会消失——这是一个很难学习的教训！

删除的编辑器
服务帐户：386242358897@cloudservices.gserviceaccount.com

• 这意味着我最初无法部署，因为它无法访问容器注册表
• 因此，我删除了集群并重新创建，希望重新创建帐户。由于权限不足，该操作失败
• 因此，我手动删除了计算实例（它没有重新创建它们的权限），然后删除了模板，然后删除了集群
• 由于用户界面现在认为您没有集群，看起来您又回到了起点。所以我运行了脚本，但失败了
  错误：（gcloud.container.clusters.create）操作[https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/operations/operation-xxxx' 开始时间：u'2017-10-17T17:59:41.515667863Z' 状态：StatusValuesEnum（完成，3） statusMessage:u'Deploy error:“不是所有在IGM中运行的实例。预期为1。当前操作&{放弃：0创建：0不重试创建：0删除：0无：0重新创建：1刷新：0重新启动：0验证：0 ForceSendFields:[]空字段：[]错误[”' 目标链接：u“ 区域：u'europe-west2-b'>]已完成，但出现错误：部署错误：“并非所有实例都在IGM中运行。预期为1。当前操作&{放弃：0创建：0创建而不重试：0删除：0无：0重新创建：1刷新：0重新启动：0验证：0 ForceSendFields:[]NullFields:[]错误[”。 更新的属性[容器/群集]

当我尝试通过UI创建时，我得到

权限被拒绝（HTTP 403）：谷歌计算引擎：必需的“Compute.zones.get”Permission for“projects/xxxx/zones/us-central1-a”

已经做了很多了！ 我的问题是，我看不到将权限返还给它试图使用的任何帐户的方法（因为我看不到该帐户，如果它存在的话），也看不到如何附加一个新的服务帐户，该帐户具有在后台执行工作所需的权限

更新：

所以

我在组织级别重新创建了帐户。在组织级别授予了it服务帐户角色，因为您无法在项目级别修改帐户的域

然后，我在项目级别修改了它，使其具有编辑器权限

这意味着我可以部署群集，但…仍然无法创建负载平衡器-权限不足

Error creating load balancer (will retry): Error getting LB for service default/bot: googleapi: Error 403: Required
 'compute.forwardingRules.get' permission for 'projects/xxxx/regions/europe-west2/forwardingRules/xxxx', forbidden

这次出现问题的用户是：

服务-xxx@container-engine robot.iam.gserviceaccount.com

所以

我玩过重新创建帐户等游戏，最终让Kubernetes重新开始工作。 一周后，他试图使用数据存储，发现阿彭金已经死了

唯一的办法是从头开始一个新项目

这个问题的答案是（有些人可能会嘲笑它的自我证明，但我们在某个时候都很匆忙）

不要创建用户帐户或授予他们超出其需要的权限，因为以后删除它们确实不值得冒险。 谢谢你的收听：D