Некоторые из моих учетных записей служб получают 403 (пользователь не авторизован) ошибки при попытке опубликовать / подписаться на PubSub. Похоже, он не соблюдает «унаследованные» разрешения от уровня IAM проекта.
Я подтвердил, что учетные записи служб имеют разрешения IAM для подписчика и средства просмотра PubSub; и когда я проверяю тему и подписки, они перечисляют учетные записи служб как тип «Наследуется». Если я вручную добавлю учетную запись службы к тому же разрешению из консоли PubSub, пользовательский интерфейс отобразит ее как «Смешанная», и тогда она будет работать.
Фон - это работало раньше!
Что странно, раньше это работало нормально. Я случайно удалил эти же сервисные аккаунты вчера. Я воссоздал их таким же образом, настроил разрешения таким же образом, и он не будет работать. Кроме того, учетные записи, которые не были удалены, по-прежнему работают с разрешениями «Наследование».
Некоторые другие вещи, которые я пробовал:
- Создана служебная учетная запись с именем, отличным от того, что было удалено - не работает
- Повторное создание тем / подписок после создания учетных записей служб и предоставления им разрешений для всего проекта - не работает
В долгосрочной перспективе я бы предпочел контролировать права доступа для каждой темы / субтитра; но я все еще озадачен, почему это не работает или что я сделал неправильно.