如何授予对帐户的访问权限，使其具有与另一个服务帐户相同的权限？

Question

因此，我有一个Google帐户，一个可以访问角色A和B的sa-1@myproject.iam.gserviceaccount.com。

有两个sa-2@myproject.iam.gserviceaccount.com服务帐户，我需要访问角色A、B和C。

如何使sa-2具有与sa-1相同的访问权限，以及其他一些访问权限？

我尝试将sa-2作为主体添加到sa-1中，并使用Service Account Admin角色。

1. IAM &管理
2. 服务帐户
3. 选择sa-1
4. "+准许进入“
5. 在下拉列表中为sa-2指定New principals
6. 点击“保存”

但是仍然拒绝使用sa-2帐户访问GCP服务。

我试着在两个SAs之间建立一种继承的关系。

Answer 1

为了授予Google帐户与服务Account1相同的权限，您需要在服务Account1上授予服务Account2 roles/iam.serviceAccountUser角色。这将允许Service 2继承授予服务帐户1的角色，然后您可以将其他角色授予Service 2，使其具有额外的访问权限。您可以通过转到Google控制台中的IAM页面并将服务帐户用户的角色设置为2来做到这一点。

有关更多信息，请访问此文档。