Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- gcloud projects add-iam-policy-binding docker230502 --member='serviceAccount:[email protected]' --role='roles/storage.objectAdmin'
- Problema: quer ter-se software que escreva (e leia, e crie) objetos na Google Cloud Storage.
- O role com permissões para tudo isso tem (em Inglês) a designação "Object Storage Admin", pelo que este "role" tem que ser associado à entidade em nome da qual o código execute as suas instruções.
- Temos dois tipos de utilizadores:
- "principal" / humanos, que NÃO são boa ideia para identidade de software.
- No caso da GCP, para representação de apps, deve utilizar-se "service accounts", que são objetos criados pelo serviço IAM (Identity and Access Management).
- Teoria: devemos criar uma "service account" e associar-lhe este role, para que apps tenham sucesso nestas ops de storage.
- Prática: encontramos situações em que se obtêm respostas 403 (não autorização) para pedidos a partir de software que utilize uma service account assim criada.
- Explicação: ?????????????
- gcloud projects add-iam-policy-binding <project id de um projeto novo ou já existente> --member='serviceAccount:<service account name>@<project id>.iam.gserviceaccount.com' --role='roles/storage.objectAdmin'
- Exemplo de concretização para um projeto chamado P20230503 , para o qual se tenha criado uma service account "sa20230503", com o role "Storage Object Admin"
- gcloud projects add-iam-policy-binding P20230503 --member='serviceAccount:[email protected]' --role='roles/storage.objectAdmin'
Advertisement
Add Comment
Please, Sign In to add comment
