# #google-cloud-platform #google-compute-engine #service-accounts
Вопрос:
Я удалил учетную запись службы по умолчанию, и прошло уже более 30 дней. Я не знаю, применимо ли это ко всем решениям marketplace, но то, которое я хочу использовать, не может быть запущено без учетной записи службы compute engine по умолчанию.
Какие разрешения IAM мне нужно установить, чтобы создать учетную запись службы, которая имеет те же разрешения, что и учетная запись службы по умолчанию compute engine, для запуска виртуальной машины с marketplace?
Я попробовал Compute Admin, compute.imageUser и администратор экземпляра Compute, но безрезультатно.
В дополнение к этому, почему решение marketplace требует учетной записи службы по умолчанию, когда рекомендуется отключить/удалить учетную запись службы compute engine по умолчанию из-за роли редактора?
Комментарии:
1. На какой странице вы удалили учетную запись службы? На странице IAM или на странице учетной записи службы?
2. 1) Учетная запись службы Compute Engine такая же, как и любая другая учетная запись службы. Создайте новую учетную запись службы с требуемыми ролями и назначьте ее экземпляру виртуальной машины Compute Engine. На самом деле это рекомендуемая процедура (для создания новой учетной записи службы). По умолчанию назначена роль редактора , которую не рекомендуется использовать. 2) При использовании учетной записи службы compute engine по умолчанию процесс создания продукта marketplace немного упрощается, требует меньше разрешений от конечного пользователя и меньше документации, которая может потребовать технической поддержки.
3. Спасибо @guillaumeblaquiere, я не могу вспомнить. Есть ли способ это выяснить?
4. Как всегда, спасибо @JohnHanley.Я попытался воссоздать SA вычислительного ядра по умолчанию с тем же синтаксисом именования и ролью редактора, но не смог успешно запустить решение marketplace. Потребуется более 30 минут, чтобы запустить виртуальную машину, после чего появится сообщение
{"ResourceType":"runtimeconfig.v1beta1.waiter","ResourceErrorCode":"504","ResourceErrorMessage":"Timeout expired."}об ошибке, если оно применимо только к решению, которое я пытаюсь использовать. Из любопытства я задаюсь вопросом, почему не обязательно запрещать использование вычислительных движков по умолчанию SA для решений marketplace?5. 1) Вы не можете вручную создать учетную запись службы с именем, совпадающим с именем по умолчанию. 2) Вы пробовали сервис gcloud beta iam-восстановить учетные записи? 3) Если у вас нет других запущенных вычислительных служб (GCE, Run и т. Д.), Отключите API вычислительного ядра (compute.googleapis.com). Затем повторно включите API. Это приведет к воссозданию учетной записи службы.
Ответ №1:
Что такое учетная запись службы compute engine по умолчанию?
По умолчанию учетной записи автоматически присваивается роль редактора проекта в проекте, и она указана в разделе IAM Облачной консоли. Эта учетная запись службы удаляется только при удалении проекта. Однако вы можете изменить роли, предоставленные этой учетной записи, в том числе отозвать весь доступ к вашему проекту.
Комментарии:
1. Спасибо! Воссоздание SA с ролью редактора в моем случае не работает. Я попытался воссоздать SA вычислительного движка по умолчанию с тем же синтаксисом именования и ролью редактора, но не смог успешно запустить решение marketplace. Для запуска виртуальной машины потребуется более 30 минут, после чего появится сообщение об ошибке
{"ResourceType":"runtimeconfig.v1beta1.waiter","ResourceErrorCode":"504","ResourceErrorMessage":"Timeout expired."}
Ответ №2:
Вы можете восстановить учетную запись службы, только если она удалена менее 30 дней назад.
Вместо этого мы можем создать новую учетную запись службы и предоставить ей роль «Редактор», так как учетная запись службы вычислительного ядра по умолчанию имеет ту же роль по умолчанию. Для получения дополнительной информации обратитесь к учетной записи службы Compute Engine по умолчанию.
Чтобы установить учетную запись службы в качестве учетной записи службы вычислительного ядра по умолчанию в проекте, мы можем использовать следующую команду:
gcloud alpha compute project-info set-default-service-account
Но так как команда находится на стадии запуска «альфа», она доступна не для всех.
Я мог бы предложить следующие варианты:
- Создайте новый проект.
- Запросите альфа-функцию, которая позволяет установить новую учетную запись службы в качестве учетной записи службы по умолчанию для вычислительного механизма.
Если у вас есть вопросы относительно альфа-релиза или участия в альфа-программе, пожалуйста, свяжитесь с отделом продаж. В этом случае отдел продаж должен утвердить его.
Комментарии:
1. Спасибо! Ценю ваш вклад. Извините, что скопировал и вставил один и тот же ответ-Воссоздание SA с ролью редактора в моем случае не работает. Я попытался воссоздать SA вычислительного движка по умолчанию с тем же синтаксисом именования и ролью редактора, но не смог успешно запустить решение marketplace. Для запуска виртуальной машины потребуется более 30 минут, после чего появится сообщение об ошибке
{"ResourceType":"runtimeconfig.v1beta1.waiter","ResourceErrorCode":"504","ResourceErrorMessage":"Timeout expired."}2. @FlyingPenguin Я изменил свой ответ. Проверьте мой новый ответ.