[英]Gitlab connection to GCP Workload Identity Federation return invalid_grant
昨天我看到 Gitlab 為 ci/cd 上的作業啟用了 OIDC JWT 令牌。 我知道 CI_JOB_JWT_V2 被標記為 alpha 功能。
我試圖在帶有 gcloud cli 的 Gitlab 運行器上將它與 Workflow Identity Federation(WIF) 一起使用,但出現錯誤。 當嘗試通過 STS API 執行此操作時,我遇到了同樣的錯誤。 我錯過了什么?
{
"error": "invalid_grant",
"error_description": "The audience in ID Token [https://gitlab.com] does not match the expected audience."
}
我的 Gitlab JWT 令牌在解碼后看起來大多像這樣(ofc 沒有細節)
{
"namespace_id": "1111111111",
"namespace_path": "xxxxxxx/yyyyyyyy/zzzzzzzzzzz",
"project_id": "<project_id>",
"project_path": "xxxxxxx/yyyyyyyy/zzzzzzzzzzz/hf_service",
"user_id": "<user_id>",
"user_login": "<username>",
"user_email": "<user_email>",
"pipeline_id": "456971569",
"pipeline_source": "push",
"job_id": "2019605390",
"ref": "develop",
"ref_type": "branch",
"ref_protected": "true",
"environment": "develop",
"environment_protected": "false",
"jti": "<jti>",
"iss": "https://gitlab.com",
"iat": <number>,
"nbf": <number>,
"exp": <number>,
"sub": "project_path:xxxxxxx/yyyyyyyy/zzzzzzzzzzz/hf_service:ref_type:branch:ref:develop",
"aud": "https://gitlab.com"
}
在 GCP 控制台中,我有一個 WIF 池,其中一個提供者設置為 OIDC,名為 gitlab 和來自https-configuration-known/gitlab.com/ 的發行者 url 。
我試圖讓服務帳戶訪問整個池,但沒有區別。 為此 SA 創建的配置如下所示
{
"type": "external_account",
"audience": "//iam.googleapis.com/projects/<projectnumber>/locations/global/workloadIdentityPools/<poolname>/providers/gitlab",
"subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
"token_url": "https://sts.googleapis.com/v1/token",
"service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/gitlab-deployer@<projectid>.iam.gserviceaccount.com:generateAccessToken",
"credential_source": {
"file": "gitlab_token",
"format": {
"type": "text"
}
}
}
默認情況下,工作負載身份聯合要求aud聲明包含工作負載身份池提供者的 URL 。 這個 URL 看起來像這樣:
https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
但是您的令牌似乎使用https://gitlab.com作為觀眾。
重新配置 GitHub 以使用工作負載身份池提供程序 URL 作為受眾,或通過運行重新配置池以使用自定義受眾
gcloud iam workload-identity-pools providers update-oidc ... \
--allowed-audiences=https://gitlab.com
Gitlab 與 GCP 工作負載標識的連接在 JWK 解析錯誤時返回 invalid_grant
[英]Gitlab connection to GCP Workload Identity returning invalid_grant on a JWKs parsing error
GCP 工作負載身份聯合-Github 提供程序-“無法獲取模擬憑據”
[英]GCP workload identity federation - Github provider - 'Unable to acquire impersonated credentials'
在 GCP 和 GitHub 之間配置工作負載身份聯合時的屬性映射
[英]Attribute mappings in configuring workload identity federation between GCP and GitHub
AttributeError: 'tuple' object 沒有屬性 'authorize' - GCP 使用 Workload Identity Federation 創建服務帳戶
[英]AttributeError: 'tuple' object has no attribute 'authorize' - GCP Create Service Account with Workload Identity Federation
GKE 工作負載身份池 VS 來自工作負載身份聯合的工作負載身份池
[英]GKE workload identity pool VS workload identity pools from workload identity federation
terraform 在嘗試創建負載均衡器時為 GCP 返回“invalid_grant”,我無法以所有者身份查看或編輯 SA 權限
[英]terraform returns 'invalid_grant' for GCP when attempting to create load balancer and I cannot view or edit SA permissions as owner
工作負載身份聯合條件的通用表達式語言中的用戶或條件
[英]User or condition in common expression language for workload identity federation condition
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.