У нас есть проблема с учетной записью службы, используемой по умолчанию для проекта, в котором она была создана при включении API до создания ресурсов.
SA был создан в рамках проекта A, но у него есть права Owner
для проектаB.
Мы пытаемся создать ресурс (кластер GKE) в проекте B , но жалуются, что нам нужно сначала включить API Kubernetes для проекта A (мы передаем --project
команде cluster create, чтобы избежать двусмысленности в отношении того, где мы пытаемся создать кластер (это также относится и к команде get-credentials).
ERROR: (gcloud.container.clusters.create) ResponseError: code=403, message=Kubernetes Engine API has not been used in project PROJECT_NUMBER before or it is disabled. Enable it by visiting https://console.developers.google.com/apis/api/container.googleapis.com/overview?project=PROJECT_NUMBER then retry. If you enabled this API recently, wait a few minutes for the action to propagate to our systems and retry.
PROJECT_NUMBER
здесь номер проекта A, а не B. Требуемый API уже включен в проекте B.
Есть ли что-то ошибочное в нашем подходе к использованию учетных записей служб здесь?