我有一个服务帐户,这是分配给我的GCE实例,并列为活动,我可以通过在任何一个实例上运行gcloud auth list来validation。 该服务帐户目前有Google Cloud API访问一些服务。 我想要做的是更新此访问权限,以便服务帐户可以从Google云端DNS读取区域/logging集信息。
我已经查看了有关服务帐户的文档,编辑他们的访问权限以及尝试编辑GCP中的服务帐户权限,但是我没有find直接添加对Google Cloud DNS或Google Cloud Networking的访问权限的方法,包括DNS。 服务帐户权限可以设置为我自己的用户帐户,并分配了所有者/编辑angular色,但我希望只授予服务帐户对Google云端DNS所需的额外访问权限。
任何帮助或见解将非常感激,谢谢!
我相信最终你将能够使用IAM权限来做到这一点。 目前我没有看到在IAM控制台中添加Cloud DNSangular色的选项。 为了授权对Cloud DNS的请求,您必须使用本文中描述的范围之一。
即
https://www.googleapis.com/auth/ndev.clouddns.readwrite https://cloud.google.com/dns/api/authorization
如果您使用的是默认服务帐户 ,则范围标志中的虚拟机创build期间必须定义范围。
即
gcloud compute --project "Myproject" instances create "instance-8" --zone "us-central1-f" --machine-type "n1-standard-1" --network "default" --maintenance-policy "MIGRATE" --scopes default="https://www.googleapis.com/auth/devstorage.full_control","https://www.googleapis.com/auth/ndev.clouddns.readwrite" --image "/debian-cloud/debian-8-jessie-v20161020" --boot-disk-size "10" --boot-disk-type "pd-standard" --boot-disk-device-name "instance-8"
如果您在创build虚拟机时将其与非默认服务帐户相关联,则可以在IAM控制台中将编辑或所有者权限添加到该帐户。 尽pipe如此,这可能会提供一个更广泛的范围,你正在寻找的。
这个页面描述了IAMangular色