堆棧內存溢出
  簡體   English   中英

Google Cloud Secrets Manager 拒絕訪問 App Engine 應用程序,但可與 Google Cloud Function 一起使用

[英]Google Cloud Secrets Manager denies access to App Engine application but works with Google Cloud Function

 原文  2022-02-07 10:30:41       javascript/ google-app-engine/ google-cloud-platform/ google-cloud-functions/ google-secret-manager

問題描述

我正在嘗試連接以從 google 的機密管理器獲取機密,並且相同的代碼適用於 Cloud Functions,但不適用於 App Engine。

const { SecretManagerServiceClient } = require('@google-cloud/secret-manager');

const secretManagerServiceClient = new SecretManagerServiceClient();
const name = 'projects/000000000000/secrets/database/versions/latest';

exports.testSecretManager = async (req, res) => {
  const [version] = await secretManagerServiceClient.accessSecretVersion({ name });
  const payload = version.payload.data.toString();
  console.debug(`Payload: ${payload}`);
  res.sendStatus(200);
};

當我將它部署為 function 時,相同的代碼工作正常。

在此處輸入圖像描述

但是當我運行相同的代碼作為 App Engine 應用程序的一部分時。 它失敗並出現此錯誤:

Error: 16 UNAUTHENTICATED: Failed to retrieve auth metadata with error: Could not refresh access token: Unsuccessful response status code. Request failed with status code 500
    at Object.callErrorFromStatus (/workspace/node_modules/@grpc/grpc-js/build/src/call.js:31:26)
    at Object.onReceiveStatus (/workspace/node_modules/@grpc/grpc-js/build/src/client.js:180:52)
    at Object.onReceiveStatus (/workspace/node_modules/@grpc/grpc-js/build/src/client-interceptors.js:365:141)
    at Object.onReceiveStatus (/workspace/node_modules/@grpc/grpc-js/build/src/client-interceptors.js:328:181)
    at /workspace/node_modules/@grpc/grpc-js/build/src/call-stream.js:182:78
    at processTicksAndRejections (node:internal/process/task_queues:78:11)

我相信 Cloud Functions 和 App Engine 都由同一個服務帳戶“App Engine 默認服務帳戶”管理。 它有權利。

環境中似乎缺少GOOGLE_APPLICATION_CREDENTIALS

console.log(process.env.GOOGLE_APPLICATION_CREDENTIALS); 給我不確定。 這能成為理由嗎? 那么我該如何將這個環境傳遞給應用引擎呢?

我怎樣才能更深入地調試這個?

2 個解決方案

解決方案1
 0  2022-02-18 13:35:22

確保從 IAM 為 App Engine 的服務賬戶授予Secret Manager Secret Accessor角色。 您需要添加的確切角色是:roles/secretmanager.secretAccessor。 您可以參考這里了解更多詳情。

另外,看看這個Stackoverflow 案例

解決方案2
 0  2022-08-29 15:03:54

谷歌雲文檔說明:

要將 Secret Manager 與在 App Engine 上運行的工作負載一起使用,您必須向 App Engine 服務授予任何所需的權限。

我可以驗證它在我的情況下是否正常工作(盡管我確實必須在我的秘密請求中指定正確的應用程序 ID,並在IAM 控制台中為服務帳戶啟用秘密訪問者角色。)

解決方案3
 -1  2022-03-10 14:30:32

請在這里找到一個寫得很漂亮的答案。

而且,官方的 Google 文檔也沒有將 GAE 列為直接支持的產品,但是,如果您願意,GCE/GKE 是開箱即用的。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 無法從 Google Cloud 訪問存儲在 Secrets Manager 中的機密 Function 如何將 Helidon 應用程序部署到 Google Cloud App Engine? 無法訪問谷歌雲計算引擎上的 Jenkins Quarkus 部署到 Google Cloud App 引擎失敗 Google Cloud App Engine 中的 Angular 7 路由不起作用 Spring 在 Google Cloud App Engine 上啟動托管 限制對 Google Cloud Function 的訪問 Google Cloud function 從 Secrets Manger 訪問秘密 Google Cloud IAP:如何從托管在單獨的 Firebase 項目上的 web 應用程序訪問 App Engine API(受 IAP 保護)? 何時使用 Google App Engine Flex 與 Google Cloud Run
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM