iam.serviceAccounts.getIamPolicy требуется для выполнения этой операции с учетной записью службы.

Question

От: https://cloud.google.com/iam/docs/granting-roles-to-service-accounts

при выполнении этой команды:

gcloud iam service-accounts get-iam-policy \
    mysa@my-project.iam.gserviceaccount.com

Я получаю:

gcloud iam service-accounts get-iam-policy mysa@my-project.iam.gserviceaccount.com
ERROR: (gcloud.iam.service-accounts.get-iam-policy) PERMISSION_DENIED: Permission iam.serviceAccounts.getIamPolicy is required to perform this operation on service account projects/-/serviceAccounts/mysa@my-project.iam.gserviceaccount.com

Но у меня есть iam.serviceAccounts.getIamPolicy разрешение на текущего пользователя (владельца роли)?

Answer 1

Проблема была с адресом электронной почты участника (адрес учетной записи службы) проекта - у пользователей IAM.

Когда я удалял это (член SA) в IAM, это работало, давая в результате «etag: ACAB».

Мне нужно выяснить, что это такое, но это сработало. Просто найдено this

Эта учетная запись, возможно, должна была быть удалена автоматически при удалении учетной записи службы - но что я знаю :-)