[英]Google Cloud Java SDK with Workload Identity?
試圖弄清楚如何從 GKE 集群內使用存儲 API 進行身份驗證。
代碼:
Storage storage = StorageOptions.newBuilder()
.setCredentials(ServiceAccountCredentials.getApplicationDefault())
.setProjectId(gcpProjectId)
.build().getService();
getApplicationDefault()被記錄為使用這些方法與 API 進行身份驗證:
應用程序使用 GCP 工作負載身份功能,因此應用程序(集群內)服務帳戶注釋為:
serviceAccount.annotations.iam.gke.io/gcp-service-account: my-service-account@my-project.iam.gserviceaccount.com
現在對存儲帳戶的調用失敗並顯示以下錯誤:
{
"code" : 403,
"errors" : [ {
"domain" : "global",
"message" : "Primary: /namespaces/my-project.svc.id.goog with additional claims does not have storage.objects.create access to the Google Cloud Storage object.",
"reason" : "forbidden"
} ],
"message" : "Primary: /namespaces/my-project.svc.id.goog with additional claims does not have storage.objects.create access to the Google Cloud Storage object."
}
這讓我認為工作負載標識無法正常工作。 我希望收到關於我的帶注釋的服務帳戶的錯誤消息,而不是默認的。
還有什么我應該做的嗎?
除了注釋語法之外,部分答案是,就像我一樣,您可能沒有仔細查看文檔中的這一部分:
gcloud iam service-accounts add-iam-policy-binding \
--role roles/iam.workloadIdentityUser \
--member "serviceAccount:PROJECT_ID.svc.id.goog[K8S_NAMESPACE/KSA_NAME]" \
GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
注意PROJECT_ID.svc.id.goog[K8S_NAMESPACE/KSA_NAME]部分。 就語法而言,他們沒有給出任何示例,但在我的 terraform 中看起來像這樣。
resource "google_project_iam_member" "app-binding-2" {
role = "roles/iam.workloadIdentityUser"
member = "serviceAccount:${local.ws_vars["project-id"]}.svc.id.goog[mynamespace/myk8ssaname]"
}
奇怪的是,我不知道您可以將 IAM 策略綁定到 k8s 服務帳戶,更奇怪的是,即使命名空間不存在,您也可以在 terraform 中綁定它,更不用說服務帳戶了。 所以你可以在部署之前先運行它。
我真的希望谷歌能提供更好的文檔和支持,這花了我幾個小時才弄明白。
試圖弄清楚如何從 GKE 集群內使用存儲 API 進行身份驗證。
代碼:
Storage storage = StorageOptions.newBuilder()
.setCredentials(ServiceAccountCredentials.getApplicationDefault())
.setProjectId(gcpProjectId)
.build().getService();
getApplicationDefault()被記錄為使用這些方法與 API 進行身份驗證:
應用程序使用 GCP 工作負載身份功能,因此應用程序(集群內)服務帳戶注釋為:
serviceAccount.annotations.iam.gke.io/gcp-service-account: my-service-account@my-project.iam.gserviceaccount.com
現在對存儲帳戶的調用失敗並顯示以下錯誤:
{
"code" : 403,
"errors" : [ {
"domain" : "global",
"message" : "Primary: /namespaces/my-project.svc.id.goog with additional claims does not have storage.objects.create access to the Google Cloud Storage object.",
"reason" : "forbidden"
} ],
"message" : "Primary: /namespaces/my-project.svc.id.goog with additional claims does not have storage.objects.create access to the Google Cloud Storage object."
}
這讓我認為工作負載標識無法正常工作。 我希望收到有關我的帶注釋的服務帳戶的錯誤消息,而不是默認的。
還有什么我應該做的嗎?
使用 GKE Workload Identity 從 Java 使用 Google Sheets API
[英]Using Google Sheets API from Java using GKE Workload Identity
谷歌雲數據流 - Java SDK 與 Python ZF20E3C5E54C3AB3D376DAZ60F66
[英]Google Cloud Dataflow - Java SDK vs Python SDK
無法通過 java sdk 在谷歌雲存儲中連接和創建存儲桶
[英]Unable to connect and create bucket in google cloud storage via java sdk
依賴於版本0.3.150227的gradle項目編譯時出錯google-cloud-dataflow-java-sdk-all
[英]Error compiling gradle project with dependency on version 0.3.150227 google-cloud-dataflow-java-sdk-all
如何使用 Google Cloud Storage Java SDK 獲取存儲桶中最后創建的文件?
[英]How to get last created file in a bucket using Google Cloud Storage Java SDK?
如何在不下載Google Cloud Java SDK的情況下對服務帳戶進行身份驗證(不在App Engine上)
[英]How to authenticate a service account without download for the Google Cloud Java SDK (not on App Engine)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.