https://gcpcomics.com/

Пятничное 🙃

Спасибо!

Я это раньше только на medium.com/google-cloud/ видел, а они, оказывается, отдельный сайт сделали :)

🤝

Подскажите как было бы правильнее давать права к проекту ?
1) создать группу в admin.google.com, добавить туда юдеров и уже этой группе дать доступ к проекту ?
2) или напрямую юзеров добавлять в проект ?

Через группу. Вдруг ещё где пригодится.

1. Создать группу  юзеров в LDAP.
2. Синхронизировать  LDAP  и Cloud Identity (admin.google.com)
3. Дать права группе в console.cloud.google.com

https://cloud.google.com/iam/docs/using-iam-securely
> Grant roles to a Google group instead of individual users when possible

А где этот LDAP ?

У себя. Какой-нибудь Active Directory

Типа Windows Server ?

Ага, если вы до этого доросли. Но в целом — почитайте статью гугола, на которую я ссылку дал

Разве в GCP нет своего AD ?

Разве admin.google.com не является AD для GCP ?

Есть. Cloud Identity вполне так себе самодостаточный Directory Service.

И AD тоже есть как managed service

Выбирайте на свой вкус

У меня крутится сервис на .NET в Cloud Run, который должен принимать запросы и затем публиковать сообщения в топик Pub/Sub. Но проблема в том, что постоянно выбивает ошибку, что у юзера нет доступа к публикации сообщению. Если явным образом задаю переменную окружения с ключом сервис аккаунта, то всё работает.

Но судя по документации, должно работать и без этого. "When running on Google Cloud Platform, no action needs to be taken to authenticate."

Что может ыть не так?

У сервис аккаунта PROJECT_ID@appspot.gserviceaccount.com, под которым запущен Cloud Run нет прав писать в топик.

А если такого аккаунта в проекте нет? Есть только сервис аккаунт Cloud Run