Какая учетная запись службы используется моим кластером GKE для доступа к GCR

Question

У меня есть несколько кластеров Google Kubernetes Engine в рамках одного проекта GCP.

Я пытаюсь понять, какую учетную запись службы GKE использует для создания модулей, и, в частности, я столкнулся с ошибкой отказа в разрешении, когдапри попытке чтения из репозитория контейнеров Google в рамках того же проекта.

Просматривая страницу GAM IAM & Admin, я вижу несколько учетных записей, в которых я не уверен в их назначении:

XXX-compute@developer.gserviceaccount.com - Compute Engine default service account
XXX@cloudbuild.gserviceaccount.com  
XXX@cloudservices.gserviceaccount.com - Google APIs Service Agent   
service-XXX@compute-system.iam.gserviceaccount.com  Compute Engine Service Agent    
service-XXX@container-engine-robot.iam.gserviceaccount.com - Kubernetes Engine Service Agent    
service-XXX@containerregistry.iam.gserviceaccount.com - Google Container Registry Service Agent     
service-XXX@dlp-api.iam.gserviceaccount.com 
service-XXX@gcf-admin-robot.iam.gserviceaccount.com - Google Cloud Functions Service Agent  
PPP@appspot.gserviceaccount.com - App Engine default service account    

Некоторыеполучил more info ссылку на них, но ни один из них не имеет никакого реального намека на то, что он используется при развертывании GKE.

Answer 1

Каждый узел GKE имеет связанную с ним учетную запись службы IAM.По умолчанию узлам присваивается учетная запись службы Compute Engine по умолчанию, которую можно найти, перейдя в раздел IAM облачной консоли.

Если вы используете учетную запись службы Compute Engine, отличную от используемой по умолчанию, вам, вероятно, потребуется предоставить роль роли учетной записи службы / storage.objectViewer в проекте.Проверьте эту ссылку для получения дополнительной информации.

Answer 2

Для GKE у вас будет учетная запись, оканчивающаяся следующим образом: container-engine-robot.iam.gserviceaccount.com, если у вас есть какие-либо проблемы (которые могут быть связаны с некоторыми изменениями в API), вы можете удалить учетные записи по умолчанию дляGCE и GKE (в разделе «Имя» вы увидите подробности и данные, относящиеся к каждому ресурсу) и повторно включите службу с помощью команды gcloud , чтобы заново создать учетные записи служб по умолчанию, если не просто назначить «Редактор »и ​​попробуйте еще раз.