Không thể tạo Private Key trên Google Cloud do lỗi iam.disableServiceAccountKeyCreation

Có một vấn đề khá phổ biến mà nhiều người dùng Google Cloud gặp phải, đó là lỗi không thể tạo Private Key cho Service Account do chính sách tổ chức iam.disableServiceAccountKeyCreation. Lỗi này không chỉ gây khó chịu mà còn ảnh hưởng đến quy trình làm việc của chúng ta.

Dấu hiệu nhận biết lỗi iam.disableServiceAccountKeyCreation

Khi bạn cố gắng tạo Private Key (dưới dạng JSON) cho Service Account, bạn có thể gặp thông báo lỗi tương tự như sau:

ERROR: (gcloud iam service-accounts keys create) PERMISSION_DENIED: Permission 'iam.serviceAccountKeys.create' denied on resource //iam.googleapis.com/projects/YOUR_PROJECT_ID/serviceAccounts/YOUR_SERVICE_ACCOUNT_EMAIL

Hoặc, trong một số trường hợp, bạn có thể thấy thông báo lỗi liên quan đến chính sách tổ chức iam.disableServiceAccountKeyCreation.

Nguyên nhân gây ra lỗi iam.disableServiceAccountKeyCreation

Nguyên nhân chính của lỗi này là do chính sách tổ chức iam.disableServiceAccountKeyCreation đã được kích hoạt ở cấp độ tổ chức hoặc dự án. Chính sách này được thiết kế để tăng cường bảo mật bằng cách ngăn chặn việc tạo Private Key cho Service Account, giảm thiểu rủi ro rò rỉ thông tin nhạy cảm. Gần đây, Google đã mặc định kích hoạt tính năng này trên tất cả các tài khoản Google Cloud.

Cách xử lý lỗi không thể tạo Private Key trên Google Cloud

Để khắc phục lỗi này, bạn cần thực hiện một trong các bước sau:

1. Kiểm tra và vô hiệu hóa chính sách:

   • Sử dụng Google Cloud Console:

     • Truy cập Organization Policies trong Google Cloud Console.
     • Tìm kiếm chính sách iam.disableServiceAccountKeyCreation.
     • Nếu chính sách đang được kích hoạt, hãy chỉnh sửa và đặt thành “Not enforced” hoặc “Allow all”.

   • Sử dụng gcloud:

     • Liệt kê các chính sách tổ chức:

       gcloud resource-manager org-policies list --organization=YOUR_ORGANIZATION_ID
       

     • Nếu iam.disableServiceAccountKeyCreation tồn tại, hãy xóa nó:

       gcloud resource-manager org-policies delete iam.disableServiceAccountKeyCreation --organization=YOUR_ORGANIZATION_ID
       

     • Hoặc, đặt chính sách thành “allowed”:

       gcloud resource-manager org-policies set-policy - <<EOF
       {
         "constraint": "iam.disableServiceAccountKeyCreation",
         "listPolicy": {
           "allowedValues": [
             "all"
           ]
         }
       }
       EOF
       --organization=YOUR_ORGANIZATION_ID
       

   • Thay thế YOUR_ORGANIZATION_ID bằng ID tổ chức của bạn.

Nếu bạn cần hỗ trợ trực tiếp có thể liên hệ mình qua Call/Zalo: 0834.556.165 hoặc Telegram: t.me/dangnhatminh

Tóm lại

Hy vọng bài viết này sẽ giúp bạn giải quyết vấn đề và tiếp tục công việc của mình một cách suôn sẻ. Nếu bạn có bất kỳ câu hỏi nào, đừng ngần ngại để lại bình luận bên dưới.