問題タブ [google-cloud-iam]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

495 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
1345 参照

google-apps-script - Google スプレッドシートでスクリプトを実行すると権限エラーが発生する

Google スプレッドシートを入力として使用するプログラムを開発しています。スプレッドシートの値が読み取られ、処理され、結果が Web ページに表示されます。

ユーザーがサインアップすると、サービス アカウントを使用してテンプレートからスプレッドシートのクローンが作成されます。テンプレートには、ユーザーがスプレッドシートに値を導入するのを支援するために使用したいスクリプトがいくつか含まれています。

しかし、スクリプトは所有者としてサービス アカウントを持っているようで、Google によるとサービス アカウントに属するスクリプトは実行できません。

エラーメッセージは次のとおりです。

Google Apps Script: サービス アカウントが所有しているため、スクリプトを実行できません。実行する前に、プロジェクトを有効なアカウントにコピーまたは転送してください。

スプレッドシートの所有権をサービス アカウントから gmail ユーザーに譲渡します。そのユーザーがスクリプトを作成すると、スクリプトは完全に実行されますが、テンプレートから継承されたスクリプトはまだ所有者としてサービス アカウントを持っているようで、実行できません。

私の質問は...どうすればプロジェクト (スクリプト) の所有権をサービス アカウントから別のユーザーに移すことができますか?

私はそれをグーグルで検索し、開発者のGoogleスプレッドシートサイトで検索しましたが、答えが見つかりませんでした

0 投票する
1 に答える
228 参照

api - 権限 Cloud Resource Manager API

開発者コンソールからプロジェクトを作成、編集、および削除する必要があるアプリケーションを開発しています。

この目的のためにCloud Resource Manager APIを使用しています。

API へのリクエストには OAuth 2.0 が必要なので、OAuth2.0 サーバー ツー サーバー(Two-Legged OAuth または 2LO)を使用しています。

認証トークンを取得したら、新しいプロジェクトを作成するために API にリクエストを行います。許可がないと言われました: The caller has no permissions.

ただし、すべてのプロジェクトのリストを要求すると、正しい応答が得られます。

許可を得るにはどうすればよいですか?

OAuth 2.0 サーバー ツー サーバーを使用するすべての手順に従い、仕事用の Google アカウントを持っています。サービス アカウントには所有者の役割とドメインの委任があります。

ありがとう!!

0 投票する
0 に答える
130 参照

google-bigquery - GCP で IoT を実装する方法: プロジェクトごとのクラウド プロジェクトとサービス アカウントの両方の制限は何ですか? 彼らは何人まで増やすことができますか?

要するに、プロジェクトごとのクラウド プロジェクトとサービス アカウントの両方の制限はどれくらいですか? どうすればそれらを増やすことができますか? アーキテクチャはまったく良いアイデアですか?

私は、顧客ごとに少数のデバイスと数百の顧客を持ち、現場で数万の計画されたデバイスを使用して IoT アプリケーションを開発しています。すべてのデバイスは、少なくとも 100Hz のサンプル レートで、デバイスごとに 1 つのデータセット (またはテーブル) を使用して、継続的に (24 時間 365 日) 測定データを直接 BigQuery にストリーミングします。

もちろん、クラウド データセットへのアクセスを厳しく制限するには、すべてのデバイスを認証および承認する必要があります。認証ガイドに記載されているように、API キーはあまり安全ではありません。したがって、最も適切なソリューションは、デバイスごとに 1 つのアカウント キーを持つ顧客ごとに 1 つのサービス アカウントを持つようです (この GCP 記事で提案されているように)。ただし、Cloud IAM の FAQ には、サービス アカウントの数はプロジェクトごとに 100 に制限されていると記載されています。

  • この制限はすぐに到達する可能性があります。もしそうなら、プロジェクトごとに数千または数万のサービス アカウントにこの制限を増やすのはどれくらい簡単/費用がかかりますか?
  • このようなシナリオでは、必要なプロジェクトの数も簡単に数百または数千に増加する可能性があります。これは実現可能でしょうか?
  • この全体的なコンセプトは実用的ですか、それとも GCP 内により良いアプローチがありますか?
0 投票する
1 に答える
79 参照

google-cloud-platform - Cloud Identity 組織外でのプロジェクトの作成を禁止する

Google Cloud Platform 組織にマッピングされた Cloud Identity 組織があります。

GCP 組織の IAM ポリシーは次のとおりです。

  • 「管理者」はプロジェクトを作成し、管理操作を行うことができます
  • 「開発者」は閲覧可能

GCP Org では問題ありませんが、「Devs」ユーザーが GCP Org の外でプロジェクトを作成できることがわかりました。この動作を防ぐ構成はありますか?

ありがとう


12345678910