Как вы предоставляете доступ к ресурсам в двух отдельных проектах Google Cloud Platform (GCP)?

Question

Допустим, у вас есть два проекта, идентификаторы = engine-project-1 и storage-project-1.

engine-project-1 имеет базовое приложение App Engine, которому необходим доступ к файлам изображений в корзине в storage-project-1.По умолчанию engine-project-1 отказано в доступе к storage-project-1

Как предоставить роль службы службы приложений (engine-project-1@appspot.gserviceaccount.com) в engine-project-1 доступу к роли хранения (roles/storage.objectViewer) вstorage-project-1 аккаунт?

Answer 1

Вариант использования - Разрешить внешнему ядру приложения получить доступ к состоянию сборки приложения

В этом примере приложению ядра приложения, работающему в ${SOURCE_PROJECT_ID}, необходим доступ к состоянию сборки в ${GOOGLE_CLOUD_PROJECT}.

* 1006.* Это легко сделать, используя облачную оболочку, активированную для проекта. Id = ${GOOGLE_CLOUD_PROJECT}

Предоставить роль принципу внешнего обслуживания

gcloud projects add-iam-policy-binding $GOOGLE_CLOUD_PROJECT \
--member=serviceAccount:${SOURCE_PROJECT_ID}@appspot.gserviceaccount.com \
--role=roles/cloudbuild.builds.viewer \

Подробнее о решенииздесь