[英]How to give permission to applications running on GCP cloud run to access gcp services
我正在開發一個從 gcp 秘密管理器訪問秘密的 nodejs 應用程序。 我使用 GOOGLE_APPLICATION_CREDENTIALS 變量通過定向憑據在本地運行它。
然后我嘗試將此服務部署到 google cloud run,現在它拋出錯誤
Error: 7 PERMISSION_DENIED: Permission 'secretmanager.versions.access' denied
我想知道如何向雲運行容器添加憑據。 我看到了一些將憑證文件包含在代碼中的實現。 從雲運行容器訪問 gcp 資源的最佳實踐是什么?
您可能希望找到Cloud Run 使用的服務帳戶,並為該服務帳戶授予針對所需秘密的相關 IAM 角色——很可能是秘密管理器秘密訪問者角色 (roles/secretmanager.secretAccessor)。
您不需要任何憑據文件。 在任何情況下,請不要在代碼存儲庫中保留任何憑據。
======
在@kolban評論后更新
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.