shm*_*111 2 google-cloud-platform terraform terraform-provider-gcp
我犯了一个似乎相当常见的错误,即使用google_service_account_iam_binding启用服务帐户来执行我应该使用的各种操作google_project_iam_binding。我现在一切正常,但我想了解google_service_account_iam_*资源的实际用途是什么?我真的找不到任何文档来解释您将在什么情况下使用它们。
身份(技术和服务身份)中的服务帐户也是一种资源。例如,您可以在服务帐户上授予用户或其他服务帐户,以允许他们模拟服务帐户(例如角色:服务帐户用户)。
如果您在项目上授予相同的角色,则允许用户或服务帐户模拟项目中的所有服务帐户,这可能过于广泛。
编辑1
让我们以您的示例为例:您想要向服务帐号授予 Compute Engine 实例上的某些角色。
您可以使用google_compute_instance_iam在项目级别(以访问项目中的所有计算引擎实例)或资源级别(此特定的计算引擎实例)授予服务帐户。
对于服务帐户来说也是一样的。您可以授予另一个服务帐户(或用户帐户)对服务帐户的某些权限。
您可以在项目级别(以访问项目中的所有服务帐户)或资源级别(此特定服务帐户)授予另一个服务帐户(或用户帐户)。
当您想要充当服务帐户(例如模拟它)时,这非常有用。您不想授予模拟所有服务帐户的权限,而只想授予一个。
| 归档时间: |
|
| 查看次数: |
2789 次 |
| 最近记录: |