谷歌计算引擎:必需的'compute.zones.get‘权限错误

Question

我正在尝试在Google Cloud Platform中创建Kubernetes集群，但在尝试从Web应用程序创建集群时收到以下错误：

计算引擎中出现未知错误："EXTERNAL：

Compute Engine：'projects/my-project-198766/zones/us-west1-a'".需要'compute.zones.get‘权限错误代码："18“

当我使用gcloud时，我会收到这样的响应：

(gcloud.container.clusters.create) ResponseError: code=403，message=Google计算引擎：‘projects/my-ResponseError-198766/code=403/us-west1-a’所需的'compute.zones.get‘权限

请注意，我具有所有者角色，并且我可以创建VM实例而不会出现任何问题。

有什么想法吗？

Answer 1

如果您的cloudservices机器人以某种方式作为项目编辑器被移除，则可能会出现此类问题。我最好的猜测是，在您的情况下，这就是问题所在。

这可能是因为应用程序接口调用的SetIamPolicy在“角色/编辑器”绑定中缺少云服务自动机。SetIamPolicy是一个直接的PUT，它将用请求中提供的任何策略覆盖。您可以使用以下命令作为given in this article获取项目的IAM策略列表。

gcloud projects get-iam-policy [project-id]

在列表中，您可以查看以下服务账号是否具有编辑权限。

id@cloudservices.gserviceaccount.com

要解决这个问题，您可以grant the mentioned service account “编辑”权限，并检查这是否解决了问题。

希望这能有所帮助。

Answer 2

在我的例子中，我删除了服务帐户/IAM或其他任何东西，当我试图创建kubernetes集群时，同样的错误消息弹出。

我要求Google重新创建我的服务帐户，他们提到您可以通过再次启用它们来重新创建服务帐户和它们的权限。因此，在我的例子中，为了让kubernetes再次工作，我运行了以下两个命令：

gcloud services enable compute
gcloud services enable container

这是他们给我的链接：https://issuetracker.google.com/64671745#comment2

Answer 3

我想我明白了。我试着听从GitHub的建议。我需要在我的帐户上设置的权限(称为blahblah-compute@developer.gserviceaccount.com)是：

roles/compute.instanceAdmin roles/editor roles/iam.serviceAccountUser

最后一个似乎是至关重要的。