希望在ORG中创建任何新项目时使用terraform在GCP中创建基础设施。我只想创建一个服务帐户,并使用该SA为任何未来的项目创建基础设施,我想使用bitbucket管道将其自动化。
试图通过给组织管理员访问SA来解决这个问题,但它不工作。
有办法吗?
组织管理员可以做很多与管理组织相关的事情,而不一定是管理项目、虚拟机等资源。
例如,如果您希望SA能够创建项目,那么您需要Project Creator角色。当然,您需要根据您想要管理的资源添加必要的角色。
另外,我不建议使用"All Mighty">所有者管理您的资源;而只使用必要的权限(读取最小权限)
我建议首先阅读文档,了解每个GCP角色的目的。
如何使用单一GCP SA对地形进行GCP中的所有项目授权
那不可能。每次创建新项目时,必须为服务帐户向项目添加IAM绑定。服务帐户不继承权限。