Questa guida ti aiuta a risolvere l’errore che impedisce la generazione della chiave JSON per il Service Account, causato dalla seguente policy attiva sull’account dell’Organizzazione: iam.disableServiceAccountKeyCreation.
Per correggere il problema è necessario utilizzare un account con i privilegi corretti a livello di Organizzazione. Anche se l’utenza dispone del ruolo Organization Administrator, potrebbe non avere il permesso specifico per modificare le policy: serve infatti disporre anche del ruolo Organization Policy Administrator.
1. Recupera l’ID dell’Organizzazione
- Accedi alla Google Cloud Console con un’utenza admin.
- Dal menu laterale, seleziona IAM e amministrazione > Organizzazioni.
- Individua l’organizzazione a cui appartiene il progetto, quindi copia e incolla a parte il relativo ID organizzazione.
2. Assegna il ruolo di Organization Policy Administrator
Per prima cosa, verifica che a essere selezionata in alto nella pagina sia l’Organizzazione e NON il singolo Progetto.
- Vai su IAM.
- Seleziona Visualizza per ruoli.
- Verifica se l’utente autenticato ha il ruolo Organization Policy Administrator. Se stai leggendo questa guida, molto probabilmente la risposta è no, dunque occorre assegnarglielo.
- Espandi il menu a tendina in corrispondenza del ruolo Organization Administrator e clicca sull’icona della matita accanto all’utente che vuoi autorizzare.
5. Clicca su Aggiungi un altro ruolo.
6. Cerca la voce Organization Policy Administrator, selezionala e clicca su Salva.
3. Rimuovi la policy iam.disableServiceAccountKeyCreation
- Clicca sull’icona in alto a destra per aprire la Cloud Shell.
2. Esegui il comando seguente nella shell, sostituendo 123456789 con l’ID dell’organizzazione che hai copiato in precedenza.
gcloud org-policies delete iam.disableServiceAccountKeyCreation --organization=123456789Così facendo, la policy sarà eliminata e l’errore corretto.