在云运行上部署时拒绝服务帐户上的“iam.serviceaccounts.actAs”权限

Question

当我试图在云中部署我的坞映像时，请使用以下命令运行：

gcloud run deploy --image $MULTI_REGION/$PROJECT/$IMAGE --memory $MEMORY --region $REGION --env-vars-file .env.yaml

我收到了错误消息：

Deploying container to Cloud Run service [image-name] in project [wagon-bootcamp-352706] region [europe-west1]
X Deploying new service...                                                                                                                                                                                 
  . Creating Revision...                                                                                                                                                                                   
  . Routing traffic...                                                                                                                                                                                     
  . Setting IAM Policy...                                                                                                                                                                                  
Deployment failed                                                                                                                                                                                          
ERROR: (gcloud.run.deploy) User [demange.louis@hotmail.fr] does not have permission to access namespaces instance [wagon-bootcamp-352706] (or it may not exist): Permission 'iam.serviceaccounts.actAs' denied on service account 942802053669-compute@developer.gserviceaccount.com (or it may not exist).

要检查项目的权限，我使用gcloud projects get-iam-policy wagon-bootcamp-352706

bindings:
- members:
  - serviceAccount:service-942802053669@gcp-sa-artifactregistry.iam.gserviceaccount.com
  role: roles/artifactregistry.serviceAgent
- members:
  - serviceAccount:service-942802053669@containerregistry.iam.gserviceaccount.com
  role: roles/containerregistry.ServiceAgent
- members:
  - user:demange.louis@hotmail.fr
  role: roles/iam.serviceAccountUser
- members:
  - serviceAccount:service-942802053669@cloud-ml.google.com.iam.gserviceaccount.com
  role: roles/ml.serviceAgent
- members:
  - user:demange.louis@hotmail.fr
  role: roles/owner
- members:
  - serviceAccount:service-942802053669@gcp-sa-pubsub.iam.gserviceaccount.com
  role: roles/pubsub.serviceAgent
- members:
  - serviceAccount:service-942802053669@serverless-robot-prod.iam.gserviceaccount.com
  role: roles/run.serviceAgent
- members:
  - user:demange.louis@hotmail.fr
  role: roles/storage.admin
- members:
  - user:demange.louis@hotmail.fr
  role: roles/storage.objectAdmin
- members:
  - user:demange.louis@hotmail.fr
  role: roles/storage.objectCreator

我还检查了‘旅行车-训练营-352706’是一个好的项目。

我还在容器注册表中检查了我的图像“图像名称”是否被很好地推送:图像名eu.gcr.io私有

总之，权限应该是有效的，上一次推送没有问题，项目名称也没有问题。唯一不清楚的是这个‘帐户942802053669-compute@developer.gserviceaccount.com’，这是在错误信息中提到的，它不属于我，我不知道它是什么。有人知道这个问题吗？提前谢谢。

诚挚的问候,

路易·德曼奇

Answer 1

问题是服务帐户942802053669-compute@developer.gserviceaccount.com不存在，因为计算引擎API没有启用(可能)，或者您已经删除了它。

你有两个选择：

1. 以计算发动机截面为例，启用Compute。
2. 如果您删除了Compute默认SA，您可以使用恢复它 (如果它最多在30天前就被删除了)或使用存在于Cloud中的另一个服务帐户。