堆栈内存溢出
  繁体   English   中英

GKE / Cloud IAM 工作负载身份设置错误 403

[英]GKE / Cloud IAM workload Identity setup error 403

 原文  2020-01-22 11:32:13       google-cloud-platform/ google-kubernetes-engine/ google-cloud-iam/ cloud-sql-proxy

问题描述

我们已经为我们的一个基于 Java / Tomcat 的应用程序设置了一个 CloudSQL 代理作为 sidecar 容器。

以下是我们如何设置工作负载标识以让我们的应用程序能够通过 cloudsql 代理连接到 CloudSQL:

  1. 创建 Cloud IAM 服务帐户并授予它 SQL 客户端权限:

  2. 设置策略绑定如下:

     gcloud iam service-accounts add-iam-policy-binding \\ --role roles/iam.workloadIdentityUser \\ --member "serviceAccount:[PROJECT_ID].svc.id.goog[default/default]" \\ [GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com

  3. 向 GKE 服务帐户添加了注释:

     kubectl annotate serviceaccount \\ --namespace [K8S_NAMESPACE] \\ [KSA_NAME] \\ iam.gke.io/gcp-service-account=[GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com

  4. 但是当我们使用以下方法测试时:

     kubectl run --rm -it \\ --generator=run-pod/v1 \\ --image google/cloud-sdk:slim \\ --serviceaccount [KSA_NAME] \\ --namespace [K8S_NAMESPACE] \\ workload-identity-test

尽管按照此页面上的说明正确执行了所有操作,但仍会导致:

Error 403: The client is not authorized to make this request., notAuthorized

1 个解决方案

解决方案1
 1 已采纳  2020-01-22 11:32:13

事实证明,Google Cloud IAM 中存在一个似乎影响服务帐户的故障

  1. 删除在步骤 1 中创建的现有 Cloud IAM 服务帐号以及与其关联的角色。
  2. 再次重新创建服务帐户(具有相同的考试权限)

这应该解决问题。 当然,您必须再次重做第 2 步和第 3 步才能完成设置,但它可以工作。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用工作负载身份为 GKE 节点池绑定 GCP IAM 无法通过具有 Workload Identity 的 GKE 连接到 Cloud SQL 代理 如何在启用了工作负载身份的 GKE 上将 Cloud Trace 与 Nodejs 结合使用? 无法在 GKE 上启用工作负载身份 所有命名空间的 GKE Workload Identity 服务帐号 谷歌云 IAM 工作负载身份联合与 azure 广告“应用注册”/“企业应用程序” GKE 工作负载身份池 VS 来自工作负载身份联合的工作负载身份池 使用 GKE 中的工作负载身份访问服务帐户密钥 json 使用工作负载身份从 GKE cronjob 运行 kubectl 命令 是否可以在 GKE 中创建多个工作负载身份
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM