Ошибка: ОШИБКА: (gcloud.logging.sinks.create) Пользователь [nataraj @ somedomaindonamehere] не имеет разрешения на доступ к организации

Question

Я пытаюсь создать приемник для мониторинга журналов VPC_FLOW для всех проектов в организации, и я получаю отказано в разрешении, есть ли у кого-нибудь еще похожая проблема?Ясно, что ошибка запрещена, но какое разрешение мне нужно для ее создания?

Среда: я регистрируюсь с somebody@domainname.com (пользователь gsuite)

Из командной строки:

gcloud beta logging sinks create somesinknamehere --include-children --log-filter='resource.type="gce_subnetwork"' storage.googleapis.com/somebuckethere   --organization=organizations/0000000000

Ошибка: ОШИБКА: (gcloud.logging.sinks.create) Пользователь [nataraj @ somedomaindonamehere] не имеет разрешения для доступа к организации [0000000000] (или он может не существовать): у вызывающей стороны нет разрешения.

API

Request

POST https://logging.googleapis.com/v2/organizations/00000000000/sinks?key={YOUR_API_KEY}

{
 "destination": "storage.googleapis.com/somebucket",
 "filter": "resource.type=\"gce_subnetwork",
 "name": "somenamehere",
 "includeChildren": true
}

Response

403

- Show headers -

{
 "error": {
  "code": 403,
  "message": "The caller does not have permission",
  "status": "PERMISSION_DENIED"
 }
}

Я попробовал бета-версию API и ниже приведен ответ

Request

POST https://logging.googleapis.com/v2beta1/organizations/0000000000/sinks?key={YOUR_API_KEY}

{
“destination”: “storage.googleapis.com/somebucketnamehere”,
“filter”: “resource.type=\“gce_subnetwork”,
“name”: “somesinknamehere”,
“includeChildren”: true
}

Ответ

404

Show headers -
<title>Error 404 (Not Found)!!1</title> <style> *{margin:0;padding:0}html,code{font:15px/22px arial,sans-serif}html{background:#fff;color:#222;padding:15px}body{margin:7% auto 0;max-width:390px;min-height:180px;padding:30px 0 15px}* > body{background:url(//www.google.com/images/errors/robot.png) 100% 5px no-repeat;padding-right:205px}p{margin:11px 0 22px;overflow:hidden}ins{color:#777;text-decoration:none}a img{border:0}@media screen and (max-width:772px){body{background:none;margin-top:0;max-width:none;padding-right:0}}#logo{background:url(//www.google.com/images/branding/googlelogo/1x/googlelogo_color_150x54dp.png) no-repeat;margin-left:-5px}@media only screen and (min-resolution:192dpi){#logo{background:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) no-repeat 0% 0%/100% 100%;-moz-border-image:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) 0}}@media only screen and (-webkit-min-device-pixel-ratio:2){#logo{background:url(//www.google.com/images/branding/googlelogo/2x/googlelogo_color_150x54dp.png) no-repeat;-webkit-background-size:100% 100%}}#logo{display:inline-block;height:54px;width:150px} </style>
404. That’s an error.

Запрошенный URL / v2beta1 / organization / 0000000000 / раковины? Key = somekeynamehjere & alt = json не найден на этом сервере.Это все, что мы знаем.

Answer 1

Уточнение комментариев @Nataraj в качестве ответа, согласно этому документу ,

, у вас должна быть роль IAM Logs Configuration Writer, чтобы родитель создавал приемник.

Таким образом, давая

1) Администратор организации, 2) Администратор биллинга и 3) Регистрация ролей администратора

Однако таких разрешений может быть большегранулярный для родителя (организации), и это руководство по управлению доступом должно помочь.С другой стороны, рекомендуется назначать роли и настраивать владение / доступ к учетным записям служб , а не пользователям.