0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ラボ毎に割当てられるロールが違うのか。。。(Google Cloud Skill Boost)

Posted at

Google Cloud Skill Boostのラボ(Serverless Cloud Run Development)に挑戦しました。
サービスアカウントをサービスにバインドする箇所でエラー連続し数日悩み続けました。
原因はとても単純なことでした。

1)結論
ラボ毎に割当てられたロールが違う

このラボではApp Engine Admin、BigQuery Admin、Editor、Viewerロールが割当されてる
image.png

違うラボではOwner、Viewerロールが割当されてる
image.png

2)エラー
以下のコード実行するとエラーが出る
サービス(private-billing-service)へサービスアカウント(billing-service-sa-881)を
バインドするもの
gcloud beta run services add-iam-policy-binding private-billing-service
--member=serviceAccount:
billing-service-sa-881@$GOOGLE_CLOUD_PROJECT.iam.gserviceaccount.com
--role=roles/run.invoker

エラー:
PERMISSION_DENIED
IAMロールが原因のようだ

3)原因
ラボ利用には制限回数があり、10回程度やると「ラボ制限回数を超過しました」と
そのラボが使えなくなる。
せっかく途中までやったので、バッジ獲得するために、あえて違うラボを利用していた。
自分が挑戦中のラボ(Serverless Cloud Run Development)は利用せずに
違うラボ(Monitor and Log with Google Cloud Operations Suite)を利用していたのが
原因だったようだ。
違うラボ(Monitor and Log with Google Cloud Operations Suite)では付与されてる
IAMロールにサービスアカウントをサービスへバインドする十分な権限がなかった。

通常なら悩まないところだけど、エラーのお陰で遠回りしたけど知識は増えた。
数日間エラーが解決できないと「自分はバカなのか?」と思ったりしてつらいけど
これからもエラーとは諦めずに向き合い続けようと思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?