구글 클라우드에서 서비스 어카운트의 권한을 확인하려하면
Could not find an ancestor of the selected project where you have access to view a policy report. On at least one ancestor, you need the following permissions: cloudasset.assets.analyzeIamPolicy, cloudasset.assets.searchAllIamPolicies, and cloudasset.assets.searchAllResources
또는
The selected project does not have any ancestors to run a policy report over.
와 같은 문구가 나왔다.
Ancestor는 존재하는 것 같은데, 해당 문구로 검색해도 뭐 안나왔다…
멤버 Role에 ‘Cloud Asset Owner’를 추가하고, (또는 Viewer)
gcloud asset search-all-iam-policies --scope=projects/$PROJECT_NAME --query="$SERVICE_ACCOUNT_EMAIL"을 실행하니
policy:
bindings:
- members:
- serviceAccount:...
role: roles/bigquery.dataViewer
- members:
- serviceAccount:...
role: roles/bigquery.user
- members:
- serviceAccount:...
- serviceAccount:...
role: roles/storage.objectAdmin위와 같이 할당된 롤을 확인할 수 있었다.
대시보드에서는 IAM 에서 해당 서비스 어카운트 이메일을 찾으면 된다.
