我在拥有 Cloud Composer 的项目上创建了一个服务边界。
VPC SC 日志片段如下,
"authenticationInfo": {
"principalEmail": "service-org-<ORG_ID>@security-center-api.iam.gserviceaccount.com"
},
"requestMetadata": {
"callerIp": "private",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "compute.googleapis.com",
"methodName": "compute.beta.DisksService.Insert",
"resourceName": "projects/<CloudComposerProjectNumber>",
"violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
"egressViolations": [
{
"source": "projects/<CloudComposerProjectNumber>",
"sourceType": "Resource",
"servicePerimeter": "accessPolicies/number/servicePerimeters/perimeter_name",
"targetResource": "projects/<ProjectNumbernotfound>"
}
]
我认为该错误是因为我没有为这些 Google 拥有的服务帐户定义任何访问级别。
但由于违规原因是 NOT_IN_SAME_SERVICE_PERIMETER 我认为这不是原因。
我的庄园里没有找到目标项目编号。它可能是外部的还是谷歌拥有的?
我尝试为身份“service-org-
Error 400: The email address 'service-org-<ORG_ID>@security-center-api.iam.gserviceaccount.com ' is invalid or non-existent.不知道有没有人有类似的情况
通常上述错误意味着正在访问的资源没有公共服务边界。您可以查看审核日志中相应的
resourceName确保resourceNames 中列出的所有资源都位于同一服务范围内。
如果资源位于不同的周界,则需要周界桥来跨周界共享资源。
要连接资源的项目,尤其是来自不同组织的项目,请使用入口/出口规则。