服务帐户没有storage.buckets.create访问权限

Question

我为Terraform创建了一个服务帐户。除了我们的过程，创建一些存储桶并通过Terraform维护它们。

但是，当我们运行terraform apply时，我们会得到以下错误：

google_storage_bucket.state_bucket: googleapi: Error 403: terraform@{project}.iam.gserviceaccount.com does not have storage.buckets.create access to project {project_id}.

我已申请了下列IAM权限，但没有取得任何效果：

• Project Owner
• Storage Admin
• Storage Object Admin

Answer 1

我也有同样的问题。我们正在使用GCP上的组织。我使用这个剧本在一个terraform项目中创建terraform帐户，我创建这个项目只是为了保存主terraform服务帐户，我们使用这个帐户来设置更高级别的项目和环境。

原来，我在管理项目中为terraform@{ project }.iam.gserviceaccount.com设置的角色是该项目的本地角色。也就是说，在组织IAM视图中，此服务帐户只显示“计费帐户用户”和“项目创建者”。

我不确定，但我认为其他组织范围项目无法读取在其他项目中设置的角色(或者某个特定服务帐户的其他项目中设置的角色被该服务帐户的组织范围角色中的角色设置所覆盖)。

将“存储管理”和“查看器”角色添加到组织范围服务帐户修复了此错误。

我认为，使用terraform enterprise可以管理组织范围内的用户，从而使在组织范围内创建和管理terraform服务帐户成为可能，从而避免了手工将组织范围角色添加到社区版本的服务帐户中的需要。

Answer 2

我不确定这是否相关，但我使用一个服务帐户从cloudberry备份到存储桶，它们今天刚刚开始失败，出现了您描述的类似的访问问题。我认为谷歌改变了一些东西，他们有相同的