我正在设置一个服务帐户以从 GKE 访问 CloudSQL DB。我已经创建了 GSA 和 KSA,并执行了将两者关联的命令 ( )。如何检查绑定以确保我的调用成功?我原本以为会有类似显示状态的gcloud iam service-accounts add-iam-policy-binding...
命令。gcloud iam service-accounts list-iam-policy-binding ...
答案1
服务帐号可以被视为资源或身份。此答案适用于服务帐号作为资源。
Google Cloud 资源的访问控制由附加到资源的身份和访问管理 (IAM) 政策管理。每个资源只能有一个 IAM 政策。
IAM 资源策略管理授予成员的资源权限。这些权限称为绑定。绑定由成员、角色和可选的条件组成。
CLI 命令gcloud iam 服务帐户添加 iam 策略绑定添加对策略的绑定。
要查看分配给资源的绑定,请阅读策略。命令gcloud iam 服务帐户 get-iam-policy阅读政策。