将服务帐户分配给工作区 (GSuite) 中的组管理员角色

Question

我正在尝试将在项目中创建的服务帐户分配给 Workspaces (GSuite) 中的组管理员角色，作为在 Terraform 中设置 IAM 自动化的实验的一部分。

我基本上在这里遵循此支持指南：https://support.google.com/a/answer/9807615#zippy=%2Cassign-a-role-to-a-service-account

添加服务帐户以授予组管理员后，按“分配角色”似乎无济于事。该按钮在视觉上悬停，但单击它后不会发生任何操作。我唯一的选择是退出并放弃请求。

我以超级管理员身份登录。我还尝试过 Firefox、Safari 和 Chrome，希望这只是一个 UI 错误。我联系了 Workspace 支持，虽然他们非常乐于助人，但他们无法找到任何问题或为我指明任何方向。

我也尝试通过“分配用户”页面分配一个虚拟用户，但我遇到了同样的问题。按钮/表单似乎没有反应或产生任何错误消息。

我的组织设置中是否缺少某些内容？

Answer 1

因此，考虑到 UI 对我来说已损坏，我最终使用 API Explorer 将服务帐户分配给 Workspaces (GSuite) 中的组管理员角色

要求：

• 服务帐户唯一 ID，通过在控制台中从 IAM 导航到您的服务帐户找到。

• 客户 ID，这是您组织的客户 ID，可以在 Workspaces 的帐户设置中找到或运行以下命令：

$ gcloud organizations list

客户 ID 列在 DIRECTORY_CUSTOMER_ID 下。

• 您还需要找到您的组管理员角色的roleID，我再次通过 API Explorer 完成了此操作，需要您的客户 ID

https://developers.google.com/admin-sdk/directory/reference/rest/v1/roles/list

向它发送请求，然后检查响应：

"roleId": "XXXXXXXXXXXXXXX",
"roleName": "_GROUPS_ADMIN_ROLE",

然后您需要使用 API Explorer 使用上述详细信息插入您的服务帐户

https://developers.google.com/admin-sdk/directory/reference/rest/v1/roleAssignments/insert

请求正文：

{
  "assignedTo": "XXXXXXXXXXX",
  "roleId": "XXXXXXXXXXX",
  "scopeType": "CUSTOMER"
}

您的服务帐户现在应该是 Workspaces (GSuite) 中的组管理员