Cloud Foundation Fabric项目工厂CICD权限问题分析与解决方案

背景介绍

在Google Cloud Platform的Cloud Foundation Fabric项目中，项目工厂(Project Factory)是一个核心组件，用于自动化创建和管理GCP项目。最近在使用CICD工作流执行项目工厂的stage-2部署时，遇到了由于只读服务账户权限不足导致的terraform plan阶段失败问题。

核心问题分析

1. 服务账户命名不一致问题

在早期版本中，项目工厂的工作流身份联合(WIF)服务账户命名存在不一致现象，例如同时存在"xxx-pf-resman-pf-1"和"xxx-resman-pf-1r"两种命名模式。这种不一致性虽然不影响功能，但会给管理和维护带来困扰。

2. 关键权限缺失问题

在实际部署过程中，发现了几个关键的权限缺失场景：

账单预算权限问题 当尝试读取或编辑账单预算时，服务账户缺少必要的权限，导致错误："Error 403: The caller does not have permission"。这是因为服务账户没有被授予管理账单预算所需的权限。

存储桶IAM策略读取问题 在尝试读取存储桶的IAM策略时，服务账户缺少storage.buckets.getIamPolicy权限，导致无法完成相关操作。错误信息明确指出："Permission 'storage.buckets.getIamPolicy' denied"。

解决方案

1. 命名标准化

最新版本的FAST已经解决了命名不一致问题。现在生成的工作流文件中，服务账户名称已经标准化为：

• 主服务账户：{prefix}-prod-resman-pf-1@{project-id}.iam.gserviceaccount.com
• 计划(plan)服务账户：{prefix}-prod-resman-pf-1r@{project-id}.iam.gserviceaccount.com

2. 权限增强方案

网络和安全项目IAM查看权限 为支持项目工厂在其他stage 2资源(如计算网络)上授予角色，需要为只读服务账户添加查看网络和安全项目IAM绑定的权限。解决方案是授予自定义角色"projectIAMViewer"。

账单相关权限处理 针对账单预算问题，项目新增了"billingViewer"自定义角色。但需要注意：

• 该角色仅在账单账户与组织同属一个组织时可用
• 如果服务账户位于组织外部，需要手动分配"roles/billing.costsManager"角色，该角色同时包含账单预算的读写权限

存储桶权限管理 对于存储桶权限问题，推荐的最佳实践是：

1. 让项目工厂创建一个专门的项目来托管应用级项目的IaC资源
2. 项目工厂自行负责为其服务账户分配正确的权限

实施建议

1. 升级到最新版本的FAST以解决命名不一致问题
2. 根据账单账户的组织归属情况，选择合适的权限分配方案
3. 对于网络和安全相关操作，确保添加必要的IAM查看权限
4. 遵循项目工厂的最佳实践来管理存储桶权限

总结

Cloud Foundation Fabric项目工厂的CICD流程中，服务账户权限配置是关键环节。通过标准化命名、添加必要的自定义角色以及遵循最佳实践，可以有效解决权限不足导致的部署问题。实施时需特别注意账单和存储相关权限的特殊处理要求，确保自动化流程顺畅运行。