Como você modifica o escopo de acesso existente de uma conta de serviço do Google Cloud Platform?

Navegue suas respostas
2

Eu tenho uma conta de serviço, que é assinada para minhas instâncias do GCE e está listada como ativa, o que posso verificar executando gcloud auth list em qualquer uma das instâncias. Atualmente, a conta de serviço tem acesso à API do Google Cloud para alguns serviços. O que eu quero fazer é atualizar esse acesso para que a conta de serviço possa ler as informações de zona / conjunto de registros do Google Cloud DNS.

Analisei a documentação sobre contas de serviço e edição de acesso, além de tentar editar as permissões da conta de serviço no GCP, mas não estou achando uma maneira direta de adicionar acesso ao Google Cloud DNS especificamente ou ao Google Cloud Networking. que seria inclusivo do DNS. As permissões da conta de serviço podem ser definidas como minha própria conta de usuário e atribuídas a uma função de proprietário / edição, mas eu preferiria conceder apenas o acesso adicional que a conta de serviço precisaria para o Google Cloud DNS.

Qualquer ajuda ou insight seria muito apreciada, obrigado!

    
por hsatterwhite 28.04.2016 / 00:54

2 respostas

3

Acredito que, eventualmente, você poderá fazer isso usando as permissões do IAM. No momento, não vejo as opções para adicionar funções do Cloud Cloud no Console do IAM . Para autorizar solicitações ao Cloud DNS, você deve usar um dos escopos descritos em este artigo .

ou seja, 

https://www.googleapis.com/auth/ndev.clouddns.readwrite
https://cloud.google.com/dns/api/authorization

Se você estiver usando a conta de serviço padrão , o escopo deve ser definido durante a criação da VM no sinalizador de escopo.

ou seja, 

gcloud compute --project "Myproject" instances create "instance-8" --zone "us-central1-f" --machine-type "n1-standard-1" --network "default" --maintenance-policy "MIGRATE" --scopes default="https://www.googleapis.com/auth/devstorage.full_control","https://www.googleapis.com/auth/ndev.clouddns.readwrite" --image "/debian-cloud/debian-8-jessie-v20161020" --boot-disk-size "10" --boot-disk-type "pd-standard" --boot-disk-device-name "instance-8"

Se você associou a VM a uma conta de serviço não padrão durante a criação, poderá adicionar permissões Editor ou Proprietário para essa conta no Console do IAM. No entanto, isso pode fornecer um escopo mais amplo do que aquele que você está procurando.

    
por 26.10.2016 / 22:20
1
  1. No Google Console, navegue até a seção "IAM e Admin"
  2. Na navegação à esquerda, clique em "IAM"
  3. Encontre sua conta de serviço listada à direita.
  4. Clique no menu suspenso na coluna "Função (s)", para selecionar uma função para a conta de serviço.

Esta página descreve os papéis do IAM

    
por 21.07.2016 / 00:42

Tags

Por que o Debian tem pacotes RPM e Yum? Servidor VisualSVN visível na Internet, mas nem todos os subcomandos funcionam no cliente