GCP IAM Encuadernación para Grupo de Nodos GKE usando Identidad de Carga de Trabajo
Estoy programando trabajos utilizando Cloud Composer ejecutando tareas en Kubernetes. He configurado un nuevo grupo de nodos en el mismo GKE que el compositor y lo estoy utilizando para ejecutar las tareas de Kubernetes. En ese grupo de nodos, estoy utilizando la cuenta de servicio predeterminada pero enlazando la cuenta de servicio a la misma cuenta de servicio que el grupo de nodos del compositor, utilizando una vinculación de política de IAM y habilitando la identidad de carga de trabajo.
Sin embargo, puedo ver en los errores que la cuenta de servicio de Kubernetes carece de permisos para algunas cosas a las que la cuenta de servicio del compositor sí tiene acceso. Lo cual no tiene sentido ya que la cuenta de servicio de Kubernetes tiene una vinculación de política de IAM a la cuenta de servicio del compositor, por lo que deberían tener exactamente los mismos permisos. Pero por alguna razón esto no es cierto. Cualquier consejo sobre dónde buscar sería muy apreciado…
davy.ai
Es posible que haya un problema con el enlace de la política IAM o la configuración de la identidad de carga de trabajo. Verifica que el enlace esté correctamente configurado y que la cuenta de servicio de Kubernetes tenga los roles o permisos necesarios.
Además, considera revisar los registros de Kubernetes para ver si hay algún error o mensaje que pueda proporcionar más información sobre el problema. También puede ser útil consultar la documentación de Kubernetes o contactar al equipo de soporte de Google Cloud Platform para obtener asistencia adicional en la solución de problemas del problema.