Удаление ненужных учетных записей служб из разрешения gcloud, в котором отказано владельцу

Question

У меня есть несколько неиспользуемых служебных учетных записей в gcloud, которые я хочу удалить.

                          Credentialed Accounts
ACTIVE  ACCOUNT
*       mike@mycompany.com
        tf@mycompany-terraform-admin.iam.gserviceaccount.com
        tf@mycompany-terraform-admin-20190506.iam.gserviceaccount.com
        tf@mycompany-terraform-admin-20190727.iam.gserviceaccount.com
        tf@mycompany-terraform-admin-20190725.iam.gserviceaccount.com
        tf-service@mycompany-terraform-admin-20200422.iam.gserviceaccount.com

Однако, под управлением

gcloud iam service-accounts delete tf@mycompany-terraform-admin-20190506.iam.gserviceaccount.com

ERROR: (gcloud.iam.service-accounts.delete) PERMISSION_DENIED: Permission  iam.serviceAccounts.delete is required to perform this operation on service account projects/-/serviceAccounts/tf@mycompany-terraform-admin-20190506.iam.gserviceaccount.com.

Я владелец учетной записи. Какие еще разрешения мне нужны?

Помимо: я, кажется, провожу> 90% своего времени с gcp на разрешениях, вместо того, чтобы фактически что-то делать, и не смог найти четкого описания этого. Любой знает хорошее объяснение того, как эффективно использовать сервис-аккаунты.

Answer 1

Чтобы удалить учетную запись службы , ваши разрешения должны быть выше, чем роль редактора (roles/editor), или вам должна быть предоставлена ​​роль Администратор учетной записи службы (* 1006). *).

Я предлагаю вам проверить текущую учетную запись, которую вы используете, чтобы убедиться, что установленные в ней политики IAM соответствуют минимальному уровню, необходимому для успешного выполнения действий.

Что касается использования учетных записей служб, я предлагаю вам рассмотреть следующие документы:

• Общие сведения об учетных записях служб ; Это даст вам подробный, но общий обзор этих учетных записей служб, их работы, удаления и воссоздания учетных записей служб и рекомендаций.
• Обзор учетных записей служб ; Это очень общий, но хорошо написанный обзор учетных записей служб. Он содержит простое и наглядное объяснение каждого шага, который может потребоваться при использовании учетных записей служб.
• Руководство автостопщика по олицетворению учетных записей служб GCP в Terraform ; Добавив это здесь, я заметил, что ваши учетные записи служб были связаны с использованием Terraform, и многие люди используют Terraform в своих проектах.
• Управление учетными записями служб ; Это очень подробный (и, следовательно, длинный) пост, объясняющий, как лучше управлять учетными записями служб.
• Часто задаваемые вопросы IAM ; Эти часто задаваемые вопросы, хотя они и носят общий характер, охватывают большую часть проблем, возникающих в IAM. Так как учетные записи служб являются подмножеством IAM, я предлагаю обращаться к нему по мере необходимости.

Я надеюсь, что это полезно. IAM очень большой и может занять немного времени, чтобы получить правильные результаты. Имейте в виду, что после того, как IAM настроен правильно, вам, возможно, не придется смотреть на него снова.