我正在尝试使用云外壳中的接收器将日志导出到 bigquery。 我做了以下步骤: bq mk 数据集
gcloud beta 日志接收器创建 my-bq-sink \ bigquery.googleapis.com/projects/my-project/datasets/\ my_dataset --log-filter='resource.type="gce_instance"'
我为接收器创建了一个服务帐户并将他绑定到 bigQuery.dataEditor 和 logging.logWriter
问题是,如果我不去控制台-> 编辑接收器-> 更新接收器我得到我对数据集的访问被拒绝。我如何从 Cloud Shell 解决这个问题?
【问题讨论】:
标签: google-cloud-platform google-bigquery sink
与许多产品一样,创建服务与 IAM 授权是分开的。对于日志接收器,Google 的“奇怪”决定是由日志服务生成一个服务帐户,并在命令结果中向您发送该服务帐户的名称
Created [https://logging.googleapis.com/v2/projects/My_PROJECT/sinks/test].
Please remember to grant `serviceAccount:p78401601954-957849@gcp-sa-logging.iam.gserviceaccount.com` the BigQuery Data Editor role on the dataset.
More information about sinks can be found at https://cloud.google.com/logging/docs/export/configure_export
如果您想编写脚本,则不是很有用。所以,将参数--format=json添加到sink创建命令中,结果如下
{
"createTime": "2020-05-21T19:27:36.599050569Z",
"destination": "bigquery.googleapis.com/projects/My_PROJECT/datasets/asset_eu",
"filter": "resource.type=cloud_function",
"name": "test",
"updateTime": "2020-05-21T19:27:36.599050569Z",
"writerIdentity": "serviceAccount:p78401601954-465055@gcp-sa-logging.iam.gserviceaccount.com"
}
现在您可以获得writerIdentity 并授予您需要的角色。但是,我再说一遍,这种选择对 Google 来说很奇怪(并且与其他产品不一致),我不会对这种行为在未来发生变化感到惊讶。
【讨论】: