标签: google-cloud-iam

我正在研究将图像推送到gc容器注册表的bitbucket管道。我已经创建了一个具有Storage Admin角色的服务帐户。（bitbucket-authorization@mgcp-xxxx.iam.gserviceaccount.com）

gcloud auth activate-service-account --key-file key.json
gcloud config set project mgcp-xxxx
gcloud auth configure-docker --quiet
docker push eu.gcr.io/mgcp-xxxx/image-name

尽管登录成功，但我得到：项目'mgcp-xxxx'的令牌交换失败。呼叫者没有权限“ storage.buckets.get”。要配置权限，请按照以下说明进行操作：https : //cloud.google.com/container-registry/docs/access-control

任何人都可以对我所缺少的提出建议吗？

谢谢！

我正在构建一个大型 API，该 API 将使用 Google Cloud API Gateway 将各种端点路由到不同的服务 \xe2\x80\x93，其中一些可能是无服务器云功能，其他将由我们的 Kubernetes 中的 Rails 应用程序提供服务簇等。

我们将选择需要客户端进行未经身份验证访问的信息端点，其中信息几乎不会每隔几个月更改一次 \xe2\x80\x93 。我希望将这些端点的内容写入 Google Cloud Storage（在一个世界无法读取的存储桶中），然后允许 API 网关配置将特定端点指向它们（一个世界可读的存储桶不会） t 满足该项目的安全标准）。

我已经为 API 网关创建了一个自定义服务帐户，并为其指定了相关存储桶的存储对象查看者角色。

但是，在使用该服务帐户创建 API 配置并在 Postman 中请求端点后，我看到的不是我期望的 JSON 输出，而是 Google 登录页面的 HTML。

我的 OpenAPI 配置中的端点定义：

paths:\n  /products:\n    get:\n      x-google-backend:\n        address: https://storage.cloud.google.com/<BUCKET_NAME>/products.json\n      summary: List of products in JSON format\n      operationId: listProductsJson\n      produces:\n        - application/json\n      responses:\n        "200":\n          description: a product list\n          schema:\n            type: array\n            items:\n              $ref: \'#/definitions/Product\'\n

这是邮递员的回应：

我正在寻找 GCP 中的职位。我有一个用例可以阅读 GCP 中的所有内容。因此，当我查看查看者角色时，文档说它是只读角色，但似乎有很多限制。查看者角色的具体权限是什么？

我想使用 gcloud CLI 创建一个包含我们组织中 Google IAM 组中所有用户的表，并输出到 BQ 表。

我知道它涉及“gcloud 身份组成员资格列表”，但不清楚如何迭代组并生成 CSV 形式的输出。

我已经找到了一种迭代项目并获取每个项目的 iam 绑定的方法 - https://rajathithanrajasekar.medium.com/google-cloud-iam-users-extraction-across-all-projects-in-a-gcp -org-2fbe66ddc045因此，我只需要组成员身份信息，而不是策略/绑定信息。

更新以澄清： 我们的用户被分配到组织级别的 IAM 组 ( https://console.cloud.google.com/iam-admin/groups )。我希望在 BigQuery 中生成这些成员资格的列表，这样我们就不必在其中寻找可能找到用户的位置。

团队管理权限没有 Google Workspace 管理员来查看用户的群组成员资格，因此我们正在寻找一种方法来提供此信息。

我想让用户能够查看和查询更大数据集中的单个表。有什么方法可以让用户只查询该表吗？我知道我可以限制对数据集的访问，但是有没有办法在表级别授予权限？

我正在尝试使用命令从 GCE VM 中读取存储桶中的文件gsutil cp。GCE VM 使用自定义存储帐户，该帐户具有存储桶中文件所需的 IAM 权限和访问策略。我的观察如下：

1. 当虚拟机具有与其关联的临时外部 IP 时，该gsutil cp命令可以正常工作并且文件复制成功。
2. 但是，如果没有分配外部 IP，则该gsutil cp命令不起作用。

在情况 2 中，该gsutil cp命令产生以下输出：

gsutil cp gs://<mybucket-name>/<myfile> .
INFO 0304 13:02:18.377339 retry_util.py] Retrying request, attempt #1...
INFO 0304 13:03:20.684459 retry_util.py] Retrying request, attempt #2...
INFO 0304 13:04:25.247341 retry_util.py] Retrying request, attempt #3...
INFO 0304 13:05:34.869920 retry_util.py] Retrying request, attempt #4...
INFO 0304 13:06:52.144510 retry_util.py] Retrying request, attempt #5...

任何人都可以建议从中得到什么以及这是否是预期的行为？从未分配外部 IP 的 GCE VM 中读取存储桶中的内容的正确方法是什么？

我正在尝试以安全的方式使用 Google 云服务。我目前通过 putenv('GOOGLE_APPLICATION_CREDENTIALS= path to JSON file ');提供我的凭据 请参阅 https://cloud.google.com/docs/authentication/Production

我想通过将我的代码放在共享主机/虚拟 Linux 服务器上来进行公开测试。但是，如果我将 JSON 文件的权限设置为安全，则无法访问它们。如果我公开，我需要包含的 JSON 文件有一个纯文本形式的私钥。

我已经进行了一个小时的搜索，但找不到我应该如何安全地提供凭据。

• 我是否应该将该文件放在服务器上的安全位置？
• 生产网站是否有其他方法可以将公共 URL 传递给 putenv？

我正在测试一个非常基本的 Pub/Sub 订阅。我将推送端点设置为通过 App Engine 中的 Python Flex 服务部署的应用程序。该服务位于启用了身份感知代理的项目中。IAP 配置为允许通过我们的域进行身份验证的用户通过。

我没有看到我的应用程序正在处理任何推送请求。

我关闭了 IAP 保护，然后我看到请求已得到处理。我重新打开它，它们不再被处理。

我有一个旧的 Google Cloud 项目，但无法删除。

当我通过网站执行此操作时，我收到“项目服务未知错误跟踪号：342342354345345345”

当我通过 CLI 使用命令执行此操作时：

gcloud 项目删除“PROJECT”

我收到错误：

错误：（gcloud.projects.delete）FAILED_PRECONDITION：先决条件检查失败。

“@type”：type.googleapis.com/google.rpc.ResourceInfo

资源名称：projects/77777777777777

资源类型：项目

我还可以做些什么？

我已启用 API Cloud Asset API (cloudasset.googleapis.com)，但它没有创建 GCP 托管服务帐户service-{projectNumber}@gcp-sa-cloudasset.iam.gserviceaccount.com。我在多个地方读到 GCP 应该创建该帐户。

我曾多次尝试启用/禁用 API，但仍然没有成功。

如果有人知道解决方法，请告诉我:-)