Можем ли мы внести изменения в политики IAM Google, используя чужой токен доступа / носителя

Я работаю над GmailwebhookTrigger, в котором я получаю уведомления о новых письмах. Я хочу добавить несколько участников в мою тему, значит хочу получать уведомления для нескольких людей по моей теме. Для этого мне нужно добавить этого члена в качестве подписчика pub / sub в мою консоль iampolicy. Я не могу сделать это, что дает мне следующую ошибку

{
  "error": {
    "code": 403,
    "message": "The caller does not have permission",
    "status": "PERMISSION_DENIED"
  }
}

нажав следующий API

https://cloudresourcemanager.googleapis.com/v1/projects/gmailwebhookserver:getIamPolicy

Кроме того, если я попытался ударить следующие другие API, я получаю ту же ошибку

https://cloudresourcemanager.googleapis.com/v1/projects/gmailwebhookserver:setIamPolicy

Я сделал все, что предусмотрено в документации, чтобы это исправить, но я не в состоянии это сделать. Но когда я добавляю внешнего пользователя в качестве владельца к проекту в моей IamConsole по следующему адресу https://console.cloud.google.com/iam-admin/ia?project=testProjectЯ могу достичь того, чего я хочу достичь. Но эту вещь, которую я должен сделать вручную, я даю полные права на мой проект другим пользователям. Я думаю, чтобы позволить внешним пользователям вносить изменения в мои облачные iampolicies, мне нужно аутентифицировать внешних пользователей, используя мою учетную запись службы. Но я не знаю, как это сделать. Предложите мне способ аутентификации пользователя с помощью моей учетной записи службы или любым другим способом, так что мне, возможно, придется ничего не делать вручную.