GCP IAM权限-服务帐户不能获得许可

Question

为了实现从github到gcp的CI管道，我配置了工作负载标识。

SERVICE_ACCOUNT="xyz“

PROJECT_ID="ABC“

命令创建的服务帐户：

gcloud iam service-accounts create "${SERVICE_ACCOUNT}" \
    --description="${SERVICE_ACCOUNT}" \
    --display-name="${SERVICE_ACCOUNT}"

通过以下命令添加了principalSet：

gcloud iam service-accounts add-iam-policy-binding "${SERVICE_ACCOUNT}@${PROJECT_ID}.iam.gserviceaccount.com" \
  --project="${PROJECT_ID}" \
  --role="roles/iam.workloadIdentityUser" \
  --member="principalSet://iam.googleapis.com/projects/${PROJECT_NUMBER}/locations/global/workloadIdentityPools/${POOL_NAME}/attribute.repository/${ORG_NAME}/${REPOSITORY}"

到目前为止还不错。

但是使用这个帐户，我想提供基础设施和部署应用程序。

因此，我使用了以下命令：

gcloud iam service-accounts add-iam-policy-binding "${SERVICE_ACCOUNT}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --member "serviceAccount:${SERVICE_ACCOUNT}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --role "roles/container.clusterAdmin"

同样，还要添加更多的角色。但我有以下错误：

(gcloud.iam.service-accounts.add-iam-policy-binding)错误：

INVALID_ARGUMENT:角色角色/容器。此资源不支持集群管理。

有什么反馈如何获得权利吗？

参考资料：https://cloud.google.com/blog/products/identity-security/enabling-keyless-authentication-from-github-actions

Answer 1

将IAM策略添加到项目，而不是服务帐户。

gcloud iam projects add-iam-policy-binding "${PROJECT_ID} \
    --member "serviceAccount:${SERVICE_ACCOUNT}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --role "roles/container.clusterAdmin"