我正在使用 gcloud 命令在组织下的 GCP 中创建角色。 该角色在其生命周期内可以删除/取消删除。
过去,如果角色已存在,则通过取消删除该角色可以完美地工作,但最近失败了。
尝试取消删除角色时,出现错误:
ERROR: (gcloud.iam.roles.undelete) NOT_FOUND: The role named organizations/12345678/roles/someRoleId was not found.
所以它显然不存在。还有,跑步的时候
gcloud iam roles list --organization=12345678 --show-deleted
该角色没有出现。
问题在于运行命令时
gcloud iam roles create someRoleId --organization=12345678 --file=config_file.yml
我收到错误:
ERROR: (gcloud.iam.roles.create) FAILED_PRECONDITION: You can't create a role_id (someRoleId) which has been marked for deletion.
有些角色以相同的 id 开头,但没有一个是相似的,例如“someRoleIdJohn”。
如何找到并删除这个“幽灵”角色?
面对类似的问题,我已使用 GCP 问题跟踪器此处开具了一张票证。不幸的是,他们似乎无法重现(或理解?)这个问题,而我最终得到的只是“不会修复 - 预期的行为”,因为“这个问题是特定于你的”(尽管我指出这个问题作为其他人遇到完全相同问题的例子)。
据我所知,删除的角色有以下里程碑(根据官方文档):
问题在于中间期——删除后的 7 到 44 天之间。取消删除角色失败(因为已经过了 7 天的宽限期),但无法创建具有相同 ID 的新角色(因为尚未经过 44 天的期限,并且旧角色尚未完全删除)。
我唯一能做的就是通过每次为角色创建一个新的 ID 来解决这个问题(基本上是随机生成角色 ID 后缀)。
这是已删除角色的预期行为。如果发生意外删除,您有充足的时间来取消删除。该角色需要7天才能完全删除。解决方法是创建新的角色 ID。这是处理自定义角色时参考的文档。[1]
[1] https://cloud.google.com/iam/docs/creating-custom-roles#deleting-custom-role