Сбой обновления сертификата ssl приложения gcloud с PERMISSION_DENIED

Question

Я пытаюсь обновить SSL-сертификат для проекта Google App Engine через CLI:

gcloud app ssl-certificates update NNNN --project XXX --configuration XXX --display-name=xxx.co.za --certificate=./fullchain.pem --private-key=./privkey_gae.pem

Эта команда раньше работала, но теперь я получаю следующую ошибку:

ERROR: (gcloud.app.ssl-certificates.update) PERMISSION_DENIED: Caller is not authorized to administer this certificate. You must be a verified owner of the certificate's domain(s) [xxx.co.za, *.xxx.co.za] to create, modify, or delete this resource. Your authorized domain(s) are []. If you own the certificate domain(s), you can obtain authorization by verifying ownership via the Webmaster Central portal: https://www.google.com/webmasters/verification/verification.

Эта ошибка не имеет смысла, поскольку домены проверяются в соответствии с URL-адресом (поскольку они также являются настраиваемым доменом, используемым самим приложением).Также это работало только в прошлом месяце, так что, похоже, что-то изменилось?

Answer 1

Я нашел проблему. Домены проверяются пользователем IAM, но я использую другую учетную запись IAM / Service для сервера CI / CD.

Похоже, что безопасность доступа к проверенным доменам изменилась, поскольку учетная запись службы не будет автоматически иметь доступ к проверенным доменам, даже если приложение это сделает.

Мне удалось решить эту проблему, добавив учетную запись службы (jenkins@XXX-ci.iam.gserviceaccount.com) в качестве подтвержденного владельца здесь: https://www.google.com/webmasters/verification/verification