[英]GKE / Cloud IAM workload Identity setup error 403
我們已經為我們的一個基於 Java / Tomcat 的應用程序設置了一個 CloudSQL 代理作為 sidecar 容器。
以下是我們如何設置工作負載標識以讓我們的應用程序能夠通過 cloudsql 代理連接到 CloudSQL:
創建 Cloud IAM 服務帳戶並授予它 SQL 客戶端權限:
設置策略綁定如下:
gcloud iam service-accounts add-iam-policy-binding \\ --role roles/iam.workloadIdentityUser \\ --member "serviceAccount:[PROJECT_ID].svc.id.goog[default/default]" \\ [GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com
向 GKE 服務帳戶添加了注釋:
kubectl annotate serviceaccount \\ --namespace [K8S_NAMESPACE] \\ [KSA_NAME] \\ iam.gke.io/gcp-service-account=[GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com
但是當我們使用以下方法測試時:
kubectl run --rm -it \\ --generator=run-pod/v1 \\ --image google/cloud-sdk:slim \\ --serviceaccount [KSA_NAME] \\ --namespace [K8S_NAMESPACE] \\ workload-identity-test
Error 403: The client is not authorized to make this request., notAuthorized
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.