Gestione di progetti incrociati utilizzando l'account di servizio

Question

Ho bisogno di un account di servizio che possa accedere a più progetti, ma non sono stato in grado di trovare un modo per farlo. Sembra che un account di servizio sia sempre associato a un progetto.

Un'altra opzione è creare un account di servizio su progetti separati e quindi autenticarli utilizzando gcloud auth activate-service-account --key-file SOME_FILE.json, ma il problema qui è che non sembra possibile automatizzare la creazione di account di servizio.

Quindi la domanda è quindi: è possibile creare un account di servizio cross project o automatizzare la creazione di un account di servizio? Ancora meglio sarebbe se potessi fare entrambe

Answer 1

Si dovrebbe essere in grado di aggiungere un account di servizio a un altro progetto:

1. creare il primo account di servizio nel progetto A nella console Cloud. Attivalo utilizzando gcloud auth activate-service-account.

2. Nella console Cloud, accedere al progetto B. Trovare la pagina "Autorizzazioni". Fai clic su "Aggiungi membri" e incolla il nome dell'account di servizio (dovrebbe apparire come uno strano indirizzo email) e assegnagli il ruolo appropriato.

3. Eseguire i comandi gcloud con --project impostato sul progetto B. Devono riuscire (ho appena verificato manualmente che ciò funzionerà).

Creazione automatica di account di servizio è qualcosa che siamo riluttanti a fare fino a quando siamo in grado di lavorare attraverso tutte le ramificazioni di sicurezza.

Answer 2

So che è un po 'vecchio, ma se qualcuno lo sta ancora cercando, Per aggiungere a @Zachary risposta di Newman, per chiarire le cose, Dopo aver creato un account di servizio nel progetto A dovresti andare al progetto B a " IAM "(non" Account di servizio "), Lì potrai aggiungere l'e-mail appena creata con i ruoli appropriati.