【发布时间】:2019-06-20 09:40:03
【问题描述】:
我正在尝试创建一个仅对特定 pubsub 主题具有权限的服务帐户。
我创建一个主题:
gcloud pubsub topics create mytopic
然后创建一个服务帐号:
gcloud iam service-accounts create my-user \
--display-name "my-user"
然后尝试授予此服务帐户权限:
gcloud alpha pubsub topics add-iam-policy-binding mytopic \
--member="serviceAccount:my-user@myproject.iam.gserviceaccount.com" \
--role='roles/pubsub.editor'
获取服务帐号json文件:
gcloud iam service-accounts keys create \
--iam-account "my-user@myproject.iam.gserviceaccount.com" \
service-account.json
使用此服务帐户 json 凭据创建对此主题的订阅被拒绝。
如果我授予此用户对整个项目的 pubsub 的权限,我可以创建对此主题的订阅,但我不想授予此服务帐户那么多权限。
gcloud projects add-iam-policy-binding myproject \
--member="serviceAccount:my-user@myproject.iam.gserviceaccount.com" \
--role='roles/pubsub.editor'
我正在尝试使用它,但它似乎不起作用:https://cloud.google.com/sdk/gcloud/reference/alpha/pubsub/topics/add-iam-policy-binding
我在这里遗漏了什么吗?我会认为这个用户与主题的角色绑定就足够了?
【问题讨论】:
标签: permissions google-cloud-platform publish-subscribe google-cloud-pubsub