在GCP云功能中添加跨项目服务帐户

Question

在 GCP 中从项目 A 向项目 B 添加了一个 IAM 服务帐户，并具有云函数管理员权限

我们已 现在尝试使用相同的服务帐户在项目B中创建云函数。

但在创建云函数时，下拉菜单中未列出服务帐户。只有本地创建的服务帐户在下拉菜单中可见。

对于在云功能中使用跨服务帐户有什么建议吗？

Answer 1

您无法使用外部项目中的服务帐户作为云功能的运行时 SA，这就是您在下拉菜单中看不到服务帐户的原因。

当您向项目 B 中的项目 A 的服务帐户授予权限时，您只需执行此操作即可授予权限。请记住，SA 仍然是项目 A 的一部分，而不是项目 B。

这与Cloud Scheduler的工作方式相同：

服务帐户必须与创建 Cloud Scheduler 作业的项目属于同一项目。

此处的步骤建议执行此操作可能的方法是使用项目 B 的服务帐户来模拟项目 A 的服务帐户，但您会注意到，实际上您附加了来自同一项目的帐户，功能是。

如果您需要从项目 B 访问项目 A 中的资源，请在您的函数中使用同一项目中的 SA，并在 中添加该 SA 所需的权限项目 A 或使用模拟方法（如果您愿意）。

Answer 2

我很困惑:-(

我使用 gcloud 尝试过此操作，但无法使其工作。

我尝试在所需的（远程）服务帐户，但我继续得到：

ERROR: (gcloud.beta.functions.deploy) PERMISSION_DENIED:
Permission 'iam.serviceaccounts.actAs' denied on service account
${ACCOUNT}@${OTHER-PROJECT}.iam.gserviceaccount.com

也许远程帐户也需要云功能部署权限？

Answer 3

是的，可以跨项目使用服务帐户来部署云功能。

请点击下面提到的链接来授予必要的权限。

https://cloud.google.com/functions/docs/secure/ function-identity#gcloud_2

---

如果服务帐号和函数在不同的项目中，则从服务帐号所在的项目中：

配置服务帐号跨项目工作。
将服务帐户令牌创建者角色 (roles/iam.serviceAccountTokenCreator) 授予以下两个 Google 管理的服务帐户：

App Engine 默认服务帐户 ([电子邮件受保护])
Cloud Functions 服务代理 ([电子邮件受保护])
这些 Google 帐户管理您的服务帐户的跨项目访问。

授予服务帐户对资源的访问权限。执行此操作的方法取决于资源类型。

将服务帐户与您的功能连接起来。您可以在部署时或通过更新以前部署的函数来执行此操作。

---

使用上述指导，我们仍然无法跨项目查看新的 SA，但能够通过 CLI 部署相同的 SA。

示例 CLI 如下

gcloud 函数部署 FUNCTION_NAME
--trigger-topic TOPIC_NAME --region REGION_NAME --runtime RUNTIME --entry-point ENTRY_POINT --service-account SERVICE_ACCOUNT_EMAIL

请注意：使用 CLI 部署 CF 时，您需要位于 main.py 和其他文件所在的工作目录中位于。