nathou's questions

我正在测试在 BigQuery 上创建计划查询所需的权限。

[email protected]计划查询将通过我可以模拟的服务帐户 ( ) 以编程方式创建。计划查询将以另一个服务帐户 ( [email protected]) 的身份运行。

我已授予以下角色：

• BigQuery 管理员已[email protected]开启project1
• 服务[email protected]帐户用户[email protected]
• BigQuery 数据编辑器至[email protected]目标数据集 ( test_dataset)
• BigQuery[email protected]作业用户project1
• BigQuery Resource Viewer到[email protected]组织（因为查询正在使用该region-us.INFORMATION_SCHEMA.JOBS_BY_ORGANIZATION视图）

我在连接到（目标数据集在此项目中）时运行以下命令project1。我也尝试使用 terraform 实现相同功能，但出现相同的错误消息。

gcloud config set auth/impersonate_service_account [email protected]
bq mk \
  --transfer_config \
  --target_dataset=test_dataset \
  --display_name='test bq scheduled query' \
  --params='{"destination_table_template":"test_jobs", "write_disposition":"WRITE_APPEND", "query":"SELECT job_id FROM `region-us.INFORMATION_SCHEMA.JOBS_BY_ORGANIZATION` WHERE DATE_TRUNC(creation_time, DAY) = '2025-01-22'"}' \
  --data_source=scheduled_query \
  [email protected]

我得到以下输出：

Updated property [auth/impersonate_service_account].
WARNING: This command is using service account impersonation. All API
calls will be executed as [[email protected]].
BigQuery error in mk operation:
Requesting user [email protected] does not have
iam.serviceAccounts.actAs permission to act as service account
[email protected]

该错误是谎言，因为[email protected]已启用服务帐户用户角色[email protected]，并且该角色包含iam.serviceAccounts.actAs权限。

我是不是漏掉了什么？GCP 支持让我抓狂，一点帮助都没有。

（服务帐户、数据集和项目名称已更改）

在我们的 Active Directory (2008 R2) 中，我使用委派向一组非管理员用户授予编辑用户信息属性（例如电话号码、职务、邮政地址等）的权限。

该组的成员现在可以编辑大多数用户信息，但他们不能编辑管理员的信息。但为什么？我没有找到任何可能导致这种情况的“拒绝”条款。