GKE / Cloud IAM 工作負載身份設置錯誤 403
[英]GKE / Cloud IAM workload Identity setup error 403
原文
2020-01-22 11:32:13
8
1
google-cloud-platform/
google-kubernetes-engine/
google-cloud-iam/
cloud-sql-proxy
問題描述
我們已經為我們的一個基於 Java / Tomcat 的應用程序設置了一個 CloudSQL 代理作為 sidecar 容器。
以下是我們如何設置工作負載標識以讓我們的應用程序能夠通過 cloudsql 代理連接到 CloudSQL:
創建 Cloud IAM 服務帳戶並授予它 SQL 客戶端權限:
設置策略綁定如下:
gcloud iam service-accounts add-iam-policy-binding \\ --role roles/iam.workloadIdentityUser \\ --member "serviceAccount:[PROJECT_ID].svc.id.goog[default/default]" \\ [GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com向 GKE 服務帳戶添加了注釋:
kubectl annotate serviceaccount \\ --namespace [K8S_NAMESPACE] \\ [KSA_NAME] \\ iam.gke.io/gcp-service-account=[GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com但是當我們使用以下方法測試時:
kubectl run --rm -it \\ --generator=run-pod/v1 \\ --image google/cloud-sdk:slim \\ --serviceaccount [KSA_NAME] \\ --namespace [K8S_NAMESPACE] \\ workload-identity-test
Error 403: The client is not authorized to make this request., notAuthorized
1 個解決方案
解決方案1
1 已采納 2020-01-22 11:32:13
無法通過具有 Workload Identity 的 GKE 連接到 Cloud SQL 代理
[英]Cannot connect to Cloud SQL Proxy through GKE with Workload Identity
如何在啟用了工作負載身份的 GKE 上將 Cloud Trace 與 Nodejs 結合使用?
[英]How to use Cloud Trace with Nodejs on GKE with workload identity enabled?
谷歌雲 IAM 工作負載身份聯合與 azure 廣告“應用注冊”/“企業應用程序”
[英]google cloud IAM workload identity federation with azure ad 'app registration'/'enterprise applications'
GKE 工作負載身份池 VS 來自工作負載身份聯合的工作負載身份池
[英]GKE workload identity pool VS workload identity pools from workload identity federation
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用工作負載身份為 GKE 節點池綁定 GCP IAM
無法通過具有 Workload Identity 的 GKE 連接到 Cloud SQL 代理
如何在啟用了工作負載身份的 GKE 上將 Cloud Trace 與 Nodejs 結合使用?
無法在 GKE 上啟用工作負載身份
所有命名空間的 GKE Workload Identity 服務帳號
谷歌雲 IAM 工作負載身份聯合與 azure 廣告“應用注冊”/“企業應用程序”
GKE 工作負載身份池 VS 來自工作負載身份聯合的工作負載身份池
使用 GKE 中的工作負載身份訪問服務帳戶密鑰 json
使用工作負載身份從 GKE cronjob 運行 kubectl 命令
是否可以在 GKE 中創建多個工作負載身份
相關標簽