# 在资源 'projects/my-project/serviceAccounts/my-sa@my-project.iam.gserviceaccount.com' 上拒绝了权限 'iam.serviceAccountKeys.create'

- **ID:** `policy/gcp-iam-policy-deny-service-account-key-creation`
- **领域:** policy
- **类别:** auth_error
- **错误码:** `403`
- **验证级别:** ai_generated
- **修复率:** 80%

## 根因

组织策略限制服务账号密钥创建以防止长期凭证，但用户或 CI/CD 管道尝试为自动化创建密钥。

## 版本兼容性

| 版本 | 状态 | 引入 | 弃用 |
|------|------|------|------|
| GCP IAM v1 | active | — | — |
| Organization Policy v2 | active | — | — |

## 解决方案

1. ```
   使用工作负载身份联合替代服务账号密钥（例如 GitHub Actions OIDC）。
   ```
2. ```
   通过 GCP 管理控制台请求组织策略例外。
   ```

## 无效尝试

- **** — The organization policy deny overrides any IAM permission; even admins cannot create keys if the constraint is active. (90% 失败率)
- **** — Impersonation still requires the key creation permission, which is blocked by the same policy. (75% 失败率)