如何在服务帐户上启用"iam.serviceAccounts.actAs“权限？

Question

我试图使用非默认服务帐户部署一个服务，方法是遵循本指南，它说我需要“正在部署的服务帐户上的iam.serviceAccounts.actAs权限”。我使用的服务帐户是@cloudbuild.gserviceaccount.com，但我没有看到将其添加到项目权限页面的选项。

Answer 1

关键是服务帐户是一种资源。您需要将标识的IAM角色添加到服务帐户(资源)中。这将授予您对资源(服务帐户)的权限。

• 打开Google控制台。进入IAM & Admin ->服务帐户。
• 找到服务帐户。在服务帐户的左侧勾选该框。
• 在右侧“权限”面板中，单击“添加成员”。
• 添加您的IAM成员电子邮件地址。对于角色，选择服务帐户->服务帐户用户。
• 单击保存

您还可以使用CLI：

gcloud iam service-accounts add-iam-policy-binding [SERVICE_ACCOUNT] --member [MEMBER_EMAIL] --role roles/iam.serviceAccountUser

gcloud iam服务-帐户添加-iam-策略绑定

Answer 2

在您正在使用的服务帐户上，您需要为自己提供服务帐户用户的角色。

转到IAM ->服务帐户-> (您的服务帐户) ->权限->授予访问

(这样做就是授予自己使用此服务帐户的权限)

另请参阅：

• 无法创建新的云功能-云客户端-api-gae
• 云构建无法部署到Google -您没有充当@appspot.gserviceaccount.com的权限