Я создал пользовательскую учетную запись службы travisci-deployer@PROJECT_ID.iam.gserviceaccount.com в своем проекте и назначил ей роль администратора облачного режима:
gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--role="roles/run.admin"
Затем я установил эту учетную запись службы в качестве идентификатора для своих команд gcloud:
gcloud auth activate-service-account --key-file=google-key.json
Но когда я запустил команду gcloud beta run deploy, я получил сообщение об ошибке «Учетная запись службы Compute Engine по умолчанию», не имеющая разрешения iam.serviceAccounts.actAs:
gcloud beta run deploy -q "${SERVICE_NAME}" \
--image="${CONTAINER_IMAGE}" \
--allow-unauthenticated
Deploying container to Cloud Run service [$APP_NAME] in project [$PROJECT_ID] region [us-central1]
Deploying...
Deployment failed
ERROR: (gcloud.beta.run.deploy) PERMISSION_DENIED: Permission 'iam.serviceaccounts.actAs'
denied on service account [email protected]
Мне это кажется странным (потому что я не использую удостоверение учетной записи службы по умолчанию GCE, хотя оно используется приложением Cloud Run после развертывания приложения).
Значит, для вызова API используется учетная запись [email protected], а не моя travisci-deployer@PROJECT_ID.iam.gserviceacount учетная запись службы, настроенная на gcloud?
Как я могу решить эту проблему?
