google-cloud-platform - 通过 deploymentmanager 创建 GCP 项目

转载作者：行者123 更新时间：2023-12-04 15:46:55

25

4

所以我正在尝试使用谷歌云部署管理器创建一个项目，我的设置大致如下:

# Structure
Org -> Folder1 -> Seed-Project(Location where I am running deployment manager from)

Organization:
  IAM:
    -> {Seed-Project-Number}@cloudservices.gserviceaccount.com:
        - Compute Network Admin
        - Compute Shared VPC Admin
        - Organisation Viewer
        - Project Creator

# DeploymentManager Resource:
type    cloudresourcemanager.v1.project
name    MyNewProject
parent  
  id: '{folder1-id}'
  type: folder
projectId: MyNewProject

期望的结果是应该在 Folder1 下创建 MyNewProject。然而;部署管理器服务帐户似乎没有足够的权限:

$ CLOUDSDK_CORE_PROJECT=Seed-Project gcloud deployment-manager deployments \
  create MyNewDeployment \
  --config config.yaml \
  --verbosity=debug

错误信息:

- code: RESOURCE_ERROR
  location: /deployments/MyNewDeployment/resources/MyNewProject
  message: '{"ResourceType":"cloudresourcemanager.v1.project",
             "ResourceErrorCode":"403","ResourceErrorMessage":{"code":403,"message":"The
    caller does not have permission","status":"PERMISSION_DENIED","statusMessage":"Forbidden","requestPath":"https://cloudresourcemanager.googleapis.com/v1/projects/MyNewProject","httpMethod":"GET"}}'

我做了一些挖掘，它似乎在调用 resourcemanager.projects.get 方法； 'Compute Shared VPC Admin (roles/compute.xpnAdmin)' 角色应该提供此权限，如下所述:https://cloud.google.com/iam/docs/understanding-roles

但似乎并非如此，这是怎么回事？

编辑

我想添加一些从调试工作中收集的额外信息:这些是来自部署管理器的 API 请求(来自种子项目)。

您可以看到调用者是一个匿名服务帐户，这不是 id 希望看到的。 (我希望在这里看到 {Seed-Project-Number}@cloudservices.gserviceaccount.com 作为调用帐户)

编辑-2

配置文件

imports:
  - path: composite_types/project/project.py
    name: project.py

resources:
  - name: MyNewProject
    type: project.py
    properties:
      parent:
        type: folder
        id: "{folder1-id}"
      billingAccountId: billingAccounts/REDACTED
      activateApis:
        - compute.googleapis.com
        - deploymentmanager.googleapis.com
        - pubsub.googleapis.com
      serviceAccounts: []

composite_types/project/* 是此处模板的精确副本:

https://github.com/GoogleCloudPlatform/deploymentmanager-samples/tree/master/community/cloud-foundation/templates/project

最佳答案

关键是这是一个 GET 操作，而不是尝试创建项目。这是为了验证请求的项目 ID 的全局唯一性，如果不唯一，则抛出 PERMISSION_DENIED。

糟糕的错误消息，浪费了很多开发人员的时间!

关于google-cloud-platform - 通过 deploymentmanager 创建 GCP 项目，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/55355848/

25

4

0

文章推荐： Scala Play Guice 依赖注入(inject)失败

文章推荐： wcf - 以编程方式添加端点

google-cloud-platform - 从 Google Cloud 上的 Cloud Run 访问 Cloud SQL
我有一个 Cloud Run 服务，它通过 SQLAlchemy 访问 Cloud SQL 实例.但是，在 Cloud Run 的日志中，我看到 CloudSQL connection failed.
cloud - 为什么叫 "Cloud"？
关闭。这个问题是opinion-based .它目前不接受答案。想改善这个问题吗？更新问题，以便可以通过 editing this post 用事实和引文回答问题. 4年前关闭。 Improve t
google-cloud-platform - 如何为 Cloud Build 用于 Cloud Run 部署的 Cloud Storage 存储分区指定区域？
在将 docker 容器镜像部署到 Cloud Run 时，我可以选择一个区域，这很好。 Cloud Run 将构建委托(delegate)给 Cloud Build，后者显然会创建两个存储桶来实现这
google-cloud-platform - Cloud PubSub 重复消息触发的 Cloud Functions
我正在尝试将 Cloud Functions 用作由 PubSub 触发的异步后台工作程序，并进行更长时间的工作(以分钟为单位)。完整代码在这里https://github.com/zdenulo/c
user-data - cloud-init执行顺序不尊重/etc/cloud/cloud.cfg？
这是/etc/cloud/cloud.cfg的内容Ubuntu云16.04镜像: # The top level settings are used as module # and system co
google-cloud-platform - 从 Cloud Functions 启动 Cloud Dataflow
如何从 Google Cloud Function 启动 Cloud Dataflow 作业?我想使用 Google Cloud Functions 作为启用跨服务组合的机制。最佳答案我已经包含了
google-cloud-platform - 如何从 Cloud Shell 连接到 Cloud SQL？
我想使用 Cloud Shell 在我的第二代 Cloud Sql 实例上运行数据库迁移。我找到了一个 example in the docs关于如何使用 gcloud 进行连接.但是当我运行命令时
google-cloud-platform - Cloud Dataproc 和其他 Google Cloud 产品的身份验证错误
我正在尝试使用 Google Cloud PubSub和我的 Google Cloud Dataproc群集，我收到如下身份验证范围错误: { "code" : 403, "errors" :
google-cloud-platform - 使用用户帐户凭据访问私有(private) Cloud Run/Cloud Functions
这是我的用例。我已经有一个以私有(private)模式部署的 Cloud Run 服务。 (与云功能相同的问题) 我正在开发使用此 Cloud Run 的新服务。我在应用程序中使用默认凭据进行身份验
google-cloud-sql - 如何从 Cloud Run 安全地连接到 Cloud SQL？
如何连接到 Cloud SQL 上的数据库，而无需在容器中添加我的凭据文件？最佳答案使用 UNIX 域套接字 (Java) 从云运行(完全托管)连接到云 SQL At this time Clou
google-cloud-ml - 如何在google-cloud-ml作业或Google Cloud Storage中加载numpy npz文件？
我有一个google-cloud-ml作业，需要从gs存储桶加载numpy .npz文件。我遵循了this example上关于如何从gs加载.npy文件的操作，但是由于.npz文件已压缩，因此它对我
google-cloud-platform - Cloud build trigger 看不到另一个项目的 Cloud Source Repository
我想创建链接到另一个项目中的 Cloud Source Repository 的 Cloud Build 触发器。但是当我在应该选择存储库的步骤中时，列表是空的。我尝试了不同的许可，但没有运气。谁能告
google-cloud-functions - 从 Cloud Function 本身获取 Cloud Function 名称
向 Twilio 发送 SMS 时，Twilio 会向指定的 URL 发送多个请求，以通过 Webhook 提供该 SMS 传送的状态。我想让这个回调异步，所以我开发了一个 Cloud Functio
google-cloud-firestore - 将 Cloud Firestore 项目迁移到另一个 Cloud Firestore 项目
我需要更改我的项目 ID，因为要验证的 Firebase 身份验证链接在链接上显示了项目 ID，并且由于品牌 reshape ，项目名称已更改。根据我发现的信息，更改项目 ID 似乎不太可能。我正在考
google-cloud-platform - 如何在 Cloud Run 中自动部署来自 Cloud Build 的最新镜像
用于部署我的 Angular 应用程序的 CI/CD 管道已关闭，但我看到 Google Cloud Run 在容器镜像更新后没有部署新修订版。我已将 Cloud Build 设置为在 GitHub
google-cloud-platform - 将 Cloud Armor 与 Cloud Run 结合使用并避免绕过
报价https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enabling While Goog
google-cloud-platform - Cloud Spanner 读取与 Cloud Spanner SQL API
Cloud Spanner 提供了两种不同的 API。 Cloud Spanner 读取与 Cloud Spanner SQL API 之间有什么区别？最佳答案在幕后，它们都使用相同的执行机制，因
google-cloud-platform - Google Cloud Spanner 和 Cloud SQL 之间有什么区别？
我是 GCP 堆栈的新手，所以我对用于存储数据的 GCP 技术数量感到非常困惑: https://cloud.google.com/products/storage 虽然上面的文章中没有提到googl
google-cloud-platform - 如何避免从 Cloud Function 到 Cloud SQL 的网络出站费用？
我发现 Google Cloud Functions 的网络出站费用令人惊讶，我正在尝试了解发生这种情况的原因以及如何避免这种情况。 Stackdriver 监控表明有问题的函数是我的 ingest
google-cloud-sql - Prisma DATABASE_URL 错误(Cloud Run + Cloud SQL)
我使用 Prisma使用 Cloud Run 和 Cloud SQL。在向 prisma.schema 提供 DATABASE_URL 后，它会在运行时抛出一个错误。 Can't reach data

首页

博学

6Ren·AI

商城

google-cloud-platform - 通过 deploymentmanager 创建 GCP 项目

编辑

编辑-2