Добрый вечер, пытаюсь покатать к8с кластер терраформом из последних новых

сияющих модулей, которые недавно зарелизили
Я выкатил его один раз, вполне успешно, решил повторить успех но уже с переименованием самого кластера итп, сделал дестрой, добавил нужные параметры в ftvars а потом и прямо в main.tf пробовал
но теперь мне каждый раз отдаёт такое:
Error: error while requesting API to create Kubernetes cluster: server-request-id = {длинный ид}
server-trace-id = {длинный ид} client-request-id = {длинный ид} client-trace-id = {длинный ид}
rpc error: code = PermissionDenied desc = Permission denied

│ with module.kube.yandex_kubernetes_cluster.kube_cluster,
│ on modules/terraform-yc-kubernetes/main.tf line 35, in resource "yandex_kubernetes_cluster" "kube_cluster":
│ 35: resource "yandex_kubernetes_cluster" "kube_cluster" {
иногда ошибка в таком формате:
│ Error: error while waiting operation to create Kubernetes cluster: operation (id=cat65pn2f3c5ng6rtvvt) failed: rpc error: code = PermissionDenied desc = unable to reserve pod CIDRs: Permission denied to create subnet in folder b1gscoobjm53safo5rif
но участот тот же - при создании кластера

Перед выполнением делаю экспорт ид каталога, облака и токен
у меня админские права

Пробовал в provider "yandex" {} добавлять service_account_key_file вручную созданного сервисаккаунта - результат тот же
Верно ли я понимаю что вероятно сервисаккаунты которые создает модуль не обладают всеми необходимыми правами? Почсему тогда в первый раз всё получилось?
Права такие:
k8s-node-account-m9jeea9n
container-registry.images.puller

k8s-service-account-m9jeea9n
k8s.clusters.agent
load-balancer.admin
vpc.publicAdmin

Напишите в саппорт сохраняя все id. Они смогут посмотреть что там за ошибки

Официальная дока рекомендует на основной SA выдавать editor: https://cloud.yandex.com/en/docs/managed-kubernetes/quickstart

прикол в том что я просто запускаю официальный модуль особо ничего там не накручивая, я вообще никаких наборов ролей не подбирал))