如何获取 Google 提供的 GCP 服务帐户的 IAM 策略?

如何获取 Google 提供的 GCP 服务帐户的 IAM 策略?

我可以使用以下方式询问服务帐户的详细信息

gcloud iam service-accounts describe <SA-email> --project=<PROJECT>

这将提供描述、显示名称、OAuth 客户端等。但如果我尝试查找有关默认的 Google 生成帐户的信息,它将失败并出现错误。例如,

gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com

失败

ERROR: (gcloud.iam.service-accounts.get-iam-policy) NOT_FOUND: Unknown service account

gcloud对于任何试图窥视特定服务帐户的操作,这都是正确的Google 自动生成的

这对我们来说很令人沮丧,因为我们有一个集中式项目,用于我们在我们的环境中共享,例如我们的 Artifact Registry。我们需要为这些自动生成的帐户提供超出默认值的跨项目访问权限。

我们可以通过 Terraform 或 GCP 的配置连接器授予访问权限。但我们无法观察以任何可编写脚本的方式呈现状态。

有谁知道如何gcloud可以用来窥视Google 自动生成服务帐号?

相关内容