web-dev-qa-db-fra.com

GCP - Quel rôle une autorisation appartient?

Je ne peux pas comprendre pourquoi l'utilisation de IAM est si difficile à comprendre. Par exemple, j'essaie de créer un calendrier pour A VM instance. Quand j'ajoute une instance à un calendrier que j'ai obtenu:

Compute Engine System service account [email protected]
needs to have [compute.instances.start,compute.instances.stop] permissions applied in order to perform this operation

J'ai localisé le compte dans iam mais je ne sais pas quel rôle appartient ces choses. Quel rôle dois-je ajouter pour y parvenir.

Si j'essaie gcloud je reçois une erreur:

gcloud projects add-iam-policy-binding general-123456 \
    --member=user:[email protected] --role=roles/compute.instances.start

ERROR: (gcloud.projects.add-iam-policy-binding) User [xxxxxx] does not have permission to access projects instance [general-123456:getIamPolicy] (or it may not exist): The caller does not have permission

Je suis le propriétaire du compte et de tous les projets.

Que dois-je faire à ce sujet?

De manière générale, quelle est la procédure à traiter avec les autorisations de GCP quand elles ont exprimé comme someth.the.other.etc ou someThingsNotRight - Comment identifier le bon nom de rôle?

2
Boppity Bop

Pour déterminer le rôle, qui a Compute.Instances.start et calculer.Instances.stop, vous pouvez accéder à la liste des rôles et filtrer par ces autorisations (type une dans la zone de filtre) [1]. Cela produira autour d'une douzaine de rôles différents qui ont l'autorisation requise, mais ces rôles par défaut vont être soit très vastes en ce qui concerne le nombre d'autorisations (propriétaire, éditeur, administrateur de calcul) ou conçue pour d'autres tâches, non liées à quoi Vous essayez de faire (Cloud Dataflow Service Agent, agent de service de moteur Kubettes).

Dans votre cas, vous pouvez simplement créer un nouveau rôle (nommez quelque chose comme un planificateur d'instance) [2] et attribuer juste ces deux autorisations, puis lier le rôle à votre compte de service.

[1] https://cloud.google.com/iam/docs/creating-custom-roles#getting_the_role_metadata
[.____] [2] https://cloud.google.com/iam/docs/creating-custom-roles#Creats_a_custom_role

3
jabbson