GKE でのサービスアカウントのトラブルシューティング

Autopilot Standard

このページでは、Google Kubernetes Engine（GKE）サービスアカウントに関する問題のトラブルシューティングを行う方法について説明します。

Google Cloud プロジェクトにデフォルトのサービスアカウントを復元する

GKE のデフォルトのサービスアカウント、container-engine-robot が、プロジェクトから誤ってバインド解除されることがあります。Kubernetes Engine サービスエージェントロール（roles/container.serviceAgent）は、クラスタリソースを管理する権限をサービスアカウントに付与する Identity and Access Management（IAM）ロールです。このロールバインディングをサービスアカウントから削除すると、デフォルトサービスアカウントはプロジェクトからバインド解除され、アプリケーションのデプロイや他のクラスタ操作の実行をユーザーができなくなる可能性があります。

サービスアカウントがプロジェクトから削除されているかどうかを確認するには、Google Cloud コンソールまたは Google Cloud CLI を使用します。

コンソール

Google Cloud コンソールで、[IAM と管理] ページに移動します。

[IAM と管理] に移動

gcloud

次のコマンドを実行します。
```
gcloud projects get-iam-policy PROJECT_ID
```
PROJECT_ID は、実際のプロジェクト ID に置き換えます。

ダッシュボードまたはコマンドで、サービスアカウントの中に container-engine-robot が表示されない場合、ロールはバインドされていません。

Kubernetes Engine サービスエージェントのロール（roles/container.serviceAgent）バインディングを復元するには、次のコマンドを実行します。

PROJECT_NUMBER=$(gcloud projects describe "PROJECT_ID" \
    --format 'get(projectNumber)') \
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:service-${PROJECT_NUMBER?}@container-engine-robot.iam.gserviceaccount.com" \
    --role roles/container.serviceAgent

ロールバインディングが復元されたことを確認します。

gcloud projects get-iam-policy $PROJECT_ID

サービスアカウント名と container.serviceAgent ロールが表示されている場合、ロールバインディングが復元されています。例:

- members:
  - serviceAccount:service-1234567890@container-engine-robot.iam.gserviceaccount.com
  role: roles/container.serviceAgent

Compute Engine のデフォルトのサービスアカウントを有効にする

ノードプールに使用されるサービスアカウントは通常、Compute Engine のデフォルトのサービスアカウントです。このデフォルトのサービスアカウントが無効になっていると、ノードがクラスタに登録できないことがあります。

プロジェクトでサービスアカウントが無効になっているかどうかを確認するには、Google Cloud コンソールまたは gcloud CLI を使用します。

コンソール

Google Cloud コンソールで、[IAM と管理] ページに移動します。

[IAM と管理] に移動

gcloud

次のコマンドを実行します。

gcloud iam service-accounts list  --filter="NAME~'compute' AND disabled=true"

サービスアカウントが無効になっている場合は、次のコマンドを実行してサービスアカウントを有効にします。

gcloud iam service-accounts enable PROJECT_ID-compute@developer.gserviceaccount.com

PROJECT_ID は、実際のプロジェクト ID に置き換えます。

詳細については、ノードの登録に関するトラブルシューティングをご覧ください。

エラー 400/403: Missing edit permissions on account

サービスアカウントが削除されている場合は、編集権限がないことを示すエラーが表示されることがあります。このエラーのトラブルシューティング方法については、エラー 400/403: アカウントに対する編集権限がないをご覧ください。

次のステップ

さらにサポートが必要な場合は、Cloud カスタマーケアにお問い合わせください。

GKE でのサービス アカウントのトラブルシューティング

Google Cloud プロジェクトにデフォルトのサービス アカウントを復元する

コンソール

gcloud

Compute Engine のデフォルトのサービス アカウントを有効にする

コンソール

gcloud

エラー 400/403: Missing edit permissions on account

次のステップ

GKE でのサービスアカウントのトラブルシューティング

Google Cloud プロジェクトにデフォルトのサービスアカウントを復元する

Compute Engine のデフォルトのサービスアカウントを有効にする