Dev Faq
2
votes

J'essaie d'attribuer le rôle de créateur de projet à un compte de service d'IAM dans GCP

J'essaie de donner le rôle de créateur de projet à un compte de service d'IAM, je ne vois pas de rôle nommé créateur de projet comme expliqué ici https://cloud.google.com/iam/docs/understanding-roles#resource-manager-roles

Je n'obtiens pas le créateur de projet en tant que rôle dans le rôle de compte de service

8 commentaires

Vous ne pouvez pas affecter Project Creator au niveau du projet. Dans Google Cloud Console, sélectionnez votre organisation sur la page Resource Manager. Ensuite, vous pouvez attribuer cette autorisation. L'autorisation doit être attribuée au niveau qui sera le parent de tout nouveau projet.

Hey John, merci pour la réponse. Je cherchais en fait à obtenir une exposition aux rôles au niveau de l'organisation et juste après avoir lu votre commentaire et fouillé plus de documents, j'ai trouvé que je devais associer mon compte d'identité cloud pour voir les rôles au niveau de l'organisation. Je suis dans ce processus maintenant. Je ne fais que commencer avec gcp iam.

Si vous avez un abonnement Pluralsight, regardez ce cours: app.pluralsight.com/library/courses/...

Pour YouTube, regardez cette session: youtu.be/tNG4RUpBUso

Pour ajouter à mon commentaire "L'autorisation doit être attribuée ou héritée au niveau qui sera le parent de tout nouveau projet"

Ce qui me manque encore, c'est la possibilité d'ajouter un compte de service et un rôle de créateur de projet au niveau de l'organisation / du dossier, je peux donner le rôle de créateur de projet au compte d'utilisateur individuel au niveau de l'organisation ou du dossier mais le compte de service est grisé est la résolution au niveau du projet), je ne suis donc toujours pas en mesure d'ajouter un compte de service avec le rôle de créateur de projet. Est-il même possible d'avoir une SA au niveau de l'organisation / du dossier? En attendant, pendant que je suis également en train de suivre le cours pluralsight, merci pour le lien et toutes les suggestions.

Avez-vous vu n'importe où des preuves qu'un compte de service PEUT être autorisé à créer des projets? Il se peut simplement qu'un projet ne puisse être associé qu'à un compte utilisateur réel.

C'est ce que je vois dans gcp, mais parlons-en avec une perspective d'architecture d'infrastructure d'un autre cloud, le projet dans gcp est ce que nous appelons un groupe de ressources dans Azure. Vous pouvez avoir un principal de service (compte de service dans gcp) pour créer un groupe de ressources et utiliser IAM pour définir une limite utilisateur afin de déployer des ressources dans ce groupe de ressources. Maintenant, à partir d'un exemple pratique dans gcp, j'ai vu qwiklabs créer des projets à la demande, crée-t-il en utilisant un contexte utilisateur? Ou comment ça marche parce que c'est ce que je veux réaliser dans le modèle de libre-service

4 Réponses :

4
votes

Son roles / resourcemanager.projectCreator et la hiérarchie de ressources la plus basse où il peut être donné est Folder . Donc, si vous avez un dossier, créez un rôle IAM au niveau du dossier (vous devez avoir des autorisations au niveau du dossier) ou créez au niveau de l'organisation (encore une fois, vous devez avoir des perms au niveau de l'organisation).

Réf: https://cloud.google.com / iam / docs / Understanding-roles # resource-manager-roles 

roles/
resourcemanager.projectCreator  Project Creator     Provides access to create new projects. Once a user creates a project, they're automatically granted the owner role for that project.   resourcemanager.organizations.get
resourcemanager.projects.create
    Folder ```


Hope this helps

0 commentaires
0
votes

Si vous ne voyez pas le rôle de créateur de projet dans IAM, vous devrez contacter l'administrateur de l'organisation qui devrait avoir la possibilité d'ajouter ce rôle particulier.

0 commentaires
1
votes

Plutôt que de penser à donner des autorisations "globalement" à un utilisateur / compte de service, pensez à donner ces autorisations de manière contextuelle. Imaginez un utilisateur avec l'identité de user@gmail.com . Vous voulez que cet utilisateur puisse créer des projets ... mais ce n'est pas aussi simple que cela. Dans GCP, vous avez le concept de dossiers qui peuvent contenir des projets. Si j'ai deux dossiers dossier1 et dossier2 , et que je souhaite que l'utilisateur puisse créer des projets dans dossier1 mais pas dans dossier2 , il semble que nous ayons un problème. Si je disais que l'utilisateur pouvait simplement créer des projets, ce serait trop large.

La meilleure façon d'y penser est qu'il y a une hiérarchie de ressources ... celles-ci commencent à la racine (l'organisation) et puis nous avons des dossiers en dessous (facultativement) et nous nous retrouvons avec des projets. Nous en avons maintenant assez pour terminer l'histoire.

Ce que GCP nous permet de faire, c'est d'indiquer:

À ce niveau (organisation ou dossier), je souhaite donner cette autorisation à cet utilisateur. Cela se propage ensuite vers le bas à partir de ce niveau d'arbre mais ne se propage pas horizontalement.

Et nous arrivons ainsi à la racine de votre question. Lorsque vous accédez à IAM, vous essayez d'associer des rôles à un utilisateur «globalement» plutôt que «contextuellement». Il n'y a pas de concept permettant de créer un projet utilisateur globalement ... au lieu de cela, vous le donnez contextuellement au niveau de l'organisation ou du dossier. Notez que si vous attribuez une autorisation au niveau de l'organisation, elle est effectivement globale car tout est imbriqué à partir de l'organisation.

1 commentaires

Bon, je ne veux pas non plus qu'un compte utilisateur donne ce rôle mais plutôt le donne à un compte de service et l'utilise pour automatiser le projet de création de projet. Le problème ici que je vois est que le rôle est disponible au-dessus du niveau du projet dans la hiérarchie, mais SA ne semble pas être disponible au-dessus du niveau du projet pour attribuer ce rôle.

1
votes

Comme John Hanley l'a mentionné précédemment, cela devrait être fait au niveau de l'organisation. J'ai joint une photo.

Gestionnaire de ressources> Créateur de projet

3 commentaires

Oui, j'obtiens cela maintenant au niveau de l'organisation / du dossier pour les comptes d'utilisateurs, mais je ne vois pas de moyen de le faire pour un compte de service au niveau de l'organisation / du dossier.

Recherchez d'abord votre compte de service puis, au niveau de l'organisation, attribuez-lui le rôle "Gestionnaire de ressources> Créateur de projet".

Merci beaucoup @Pejvak !! Au départ, cela donnait une erreur pendant que j'ajoutais SA à partir d'IAM, mais maintenant je suis capable d'ajouter et de déployer des ressources en utilisant la clé pour SA.

Articles qui pourrait vous intéresser :

Échec de l'opération Dataproc: INVALID_ARGUMENT: utilisateur non autorisé à agir en tant que compte de service
Les fonctions cloud de Google écrivent des problèmes de quota avec plus de 40 fonctions
Le travail de traitement des données échoue avec l'exception de classe introuvable
Je n'arrive pas à faire fonctionner google.cloud.texttospeech