Я пытаюсь добавить роль cloudsq.client в учетную запись службы через диспетчер развертывания облака.Как мне это сделать?
Я понял, что могу добавить примитивные роли, такие как роль / владелец, с pubsub.v1.topic resourceType.Посмотрите официальный пример Google:
resources:
- name: {{ env['name'] }}
type: pubsub.v1.topic
properties:
topic: {{ env['name'] }}
accessControl:
gcpIamPolicy:
bindings:
- role: roles/pubsub.subscriber
members:
- "serviceAccount:$(ref.{{ properties['serviceAccountId'] }}.email)"
Но похоже, что это не работает с role/cloudsql.client: Там написано:
"message":"Role roles/cloudsql.client is not supported for this resource."
Я понял через МожетНе создайте роль cloudql для учетной записи службы через API , которую мне, скорее всего, придется использовать cloudresourcemanager.v1.project.Но просто замена ресурсов не работает:
resources:
- name: {{ env['name'] }}
type: cloudresourcemanager.v1.project
properties:
projectId: {{ env['project'] }}
accessControl:
gcpIamPolicy:
bindings:
- role: roles/cloudsql.client
members:
- "serviceAccount:$(ref.{{ properties['serviceAccountId'] }}.email)"
Ошибка:
- code: RESOURCE_ERROR
location: /deployments/test-cluster/resources/cloudsql-client-role
message: '{"ResourceType":"cloudresourcemanager.v1.project","ResourceErrorCode":"403","ResourceErrorMessage":{"code":403,"message":"Service
accounts cannot create projects without a parent.","status":"PERMISSION_DENIED","statusMessage":"Forbidden","requestPath":"https://cloudresourcemanager.googleapis.com/v1/projects","httpMethod":"POST"}}'
Я застрял, поэтому я ценю любую помощь, которую я могу получить!