我正在使用https://dataproc.googleapis.com/v1/projects/{projectId}/regions/{region}/clusters来创建GCP DataProc群集,如https://cloud.google.com/dataproc/docs/reference/reference/Rest/Rest/v1/project/projects.regions.regions.regions.clusters.clusters/create。
我正在使用已导出到JSON KEYFILE的服务帐户凭据。该服务帐户(myserviceaccount@projectA.iam.gserviceaccount.com)存在于Projecta中,我已经能够使用它成功创建Projecta中的DataProc群集。
我现在需要使用相同的服务帐户来创建ProjectB中的数据群集群。我正在使用完全相同的凭据运行完全相同的代码,唯一的区别是我正在创建的代码。我授予了myserviceaccount@projectA.iam.gserviceaccount.com Projectb中与Projecta中完全相同的权限,但是当我尝试创建该项目时集群失败:
2019-03-22 10:58:47 INFO: _retrieve_discovery_doc():272: URL being requested: GET https://www.googleapis.com/discovery/v1/apis/dataproc/v1/rest
2019-03-22 10:58:54 INFO: method():873: URL being requested: GET https://dataproc.googleapis.com/v1/projects/dh-coop-no-test-35889/regions/europe-west1/clusters?alt=json
2019-03-22 10:58:54 INFO: new_request():157: Attempting refresh to obtain initial access_token
2019-03-22 10:58:54 DEBUG: make_signed_jwt():100: [b'blahblahblah', b'blahblahblah']
2019-03-22 10:58:54 INFO: _do_refresh_request():777: Refreshing access_token
2019-03-22 10:58:55 WARNING: _should_retry_response():121: Encountered 403 Forbidden with reason "forbidden"
因此,该服务帐户禁止在ProjectB中创建集群,但我没有任何有关原因的信息。我希望有一些审核日志可以更多地解释为什么禁止请求,但我在https://console.cloud.google.com/logs/viewer?project=project = projectB中查看了。/p>
有人可以告诉我在哪里可以获得更多信息来诊断为什么此请求失败?
如注释中所述,获取失败请求的更多信息的一种方法是设置GCLOUD来使用服务帐户。使用-log-http运行gcloud命令也可能提供其他信息。
在此处重新播放,以便更容易的可读性/可见性。