- 我不明白这两者的区别是什么。add-iam-policy-binding将策略(在角色中定义,包括自定义角色)绑定到项目的iam用户(用户、服务帐户、组)。
get-iam-policy/set-iam-policy也按照读-修改-写模式执行相同的操作。
那么,两者之间的基本区别是什么呢?什么时候使用其中一个?
我一直在阅读- https://cloud.google.com/iam/docs/overview#permissions
-
运行这些命令需要什么权限?我得到add-iam-policy-binding的权限错误,但get/set-iam-policy使用serviceaccount工作正常。
-
一旦我理解它,目标是创建一个组,添加用户到它。若要为组分配权限,请创建角色并添加与项目的绑定。在这里,我不确定如何创建角色绑定来访问组?那么如何实现后面的部分呢?
add-iam-policy-binding是一些简化读-修改-写在一个用户步骤的糖。当该服务被引入时,它在使用该机制方面与其他服务不同,并且通过提供一种更常规的方法添加了add。
add一次只能绑定一个身份*角色。但是,如果它无法进行更改(如果etag已更改),则可能会重试。然而,您可以对get进行多次更改,然后使用set。
在封面下面,我假设(d),add为您执行get-modify-write舞蹈,所以,我很惊讶您不能使用与get,set和add相同的帐户。请包括您运行的命令和输出。
组是在Google Groups中创建的,我假设是Google Identity。而不是用user:或serviceAccount:作为前缀标识,然后使用group:(如果我没记错的话)。
您正在使用的URL是一个明确的概述。我刚检查过,group:是正确的。
您可以gcloud ... --log-http让CLI显示其工作(底层REST调用),这应该显示add被分解为get,然后是set。如果没有,它会通过其他方式实现。