Предоставьте роль администратора Google Cloud Run человеку X, но в helloWorld отказано в разрешении

Question

Я дал кому-то доступ к Cloud Run от имени администратора, но он все еще не смог запустить helloworld Google Cloud Run из-за разрешений. После этого я просто временно предоставил ему правообладателя на доступ ко всему проекту, и он больше не получил разрешения, и все работало нормально. Я не хочу, чтобы у него был полный доступ к проекту. Как дать мелкозернистые разрешения, чтобы он мог развертывать новые приложения в Cloud Run?

Это для Cloud Run, а не для Anthos. Мой коллега пытается развернуть и запустить helloworld, найденный здесь https://cloud.google.com/run/docs/quickstarts/build-and-deploy.

Answer 1

См. здесь для получения списка разрешений, необходимых для развертывания.

Вы можете предоставить эти две роли:

1. "Администратор облачного запуска"
2. «Пользователь учетной записи службы»

Answer 2

Cloud Run Admin имеет два разрешения, необходимые для развертывания служб Cloud Run ('run.services.create' и 'run.services.update'). Однако в соответствии с документацией Cloud Run вам потребуется дополнительное разрешение 'iam.serviceAccounts.actAs', связанное с учетной записью службы

. Это разрешение может быть предоставлено через 'role / iam. Роль serviceAccountUser (пользователь учетной записи службы)

Похоже, что для роли Cloud Admin требуется дополнительное разрешение проекта, необходимое для среды Cloud Run, поэтому также добавьте роль редактора проекта в учетную запись пользователя.