堆棧內存溢出
  簡體   English   中英

錯誤:(gcloud.auth.activate-service-account).json 密鑰文件格式無效——通過模擬服務帳戶

[英]ERROR: (gcloud.auth.activate-service-account) The .json key file is not in a valid format -- via impersonate-service-account

 原文  2022-12-30 11:12:44       bash/ docker/ google-cloud-platform/ docker-compose/ gcloud

問題描述

是否可以使用short-lived credentials和 docker-compose 來運行 bash 腳本 gcloud 命令?

我嘗試使用的相關帖子已有 5 年以上歷史,我被引導相信gcloud auth命令在此期間發生了變化:

設置

  • 發生了很多事情,但我試圖縮寫為相關部分

Makefile

auth: ## commands for short lived auth
    @gcloud config set project ${GCP_PROJECT}
    @gcloud auth application-default login --impersonate-service-account="inst-dataflow-svc@${GCP_PROJECT}.iam.gserviceaccount.com"
    @gcloud auth configure-docker $(REGION)-docker.pkg.dev

gcloud-flex-build: ## build & push base docker image
    docker-compose build gcloud-build-flex-local
    docker-compose run gcloud-build-flex-local

docker-compose.yaml

version: '3.4'
services:
  gcloud-build-flex-local:
    build:
      dockerfile: docker/gcloud-build-flex-template.dockerfile
      context: .
    image: us-central1-docker.pkg.dev/gcp-project/dataflow-docker-registry/local-build/pubsub-to-gbq-build-flex-template
    volumes:
      - type: bind
        source: ${HOME}/.config/gcloud/
        target: /tmp

docker/gcloud-build-flex-template.dockerfile

FROM gcr.io/google.com/cloudsdktool/cloud-sdk:408.0.1

COPY docker/scripts/gcloud-build-flex-template.sh /app/gcloud-build-flex-template.sh
COPY dataflow/pubsub-to-gbq/pubsub-to-gbq-metadata /app/pubsub-to-gbq-metadata

WORKDIR /app

ENTRYPOINT "/app/gcloud-build-flex-template.sh"

/app/gcloud-build-flex-template.sh

#!/bin/bash

set -euo pipefail

SERVICE_ACCOUNT_EMAIL=inst-dataflow-svc@gcp-project.iam.gserviceaccount.com
GCP_PROJECT=gcp-project

export GOOGLE_APPLICATION_CREDENTIALS=/tmp/application_default_credentials.json

# debugging
echo $GOOGLE_APPLICATION_CREDENTIALS
ls -lah /tmp/
cat $GOOGLE_APPLICATION_CREDENTIALS

gcloud auth activate-service-account $SERVICE_ACCOUNT_EMAIL --project=$GCP_PROJECT --key-file=$GOOGLE_APPLICATION_CREDENTIALS

執行

make auth
make gcloud-flex-build

錯誤

錯誤:(gcloud.auth.activate-service-account) The.json 密鑰文件的格式無效。

make: *** [gcloud-flex-build] 錯誤 1

標准輸出(縮寫)

docker-compose build gcloud-build-flex-local
[+] Building 0.4s (9/9) FINISHED
...
docker-compose run gcloud-build-flex-local

drwxr-xr-x 17 root root  544 Dec 30 10:36 .
drwxr-xr-x  1 root root 4.0K Dec 30 10:40 ..
-rw-------  1 root root  591 Dec 30 10:36 application_default_credentials.json

{
  "delegates": [],
  "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/inst-dataflow-svc@gcp-project.iam.gserviceaccount.com:generateAccessToken",
  "source_credentials": {
    "client_id": "alphanumeric string .apps.googleusercontent.com",
    "client_secret": "alphanumeric string",
    "refresh_token": "alphanumeric string",
    "type": "authorized_user"
  },
  "type": "impersonated_service_account"
}

我可以通過docker run它,通過欺騙憑據以僅包含作為卷傳入的“source_credentials”object,但同樣的技巧似乎不適用於在容器內運行腳本的 docker-compose ...

1 個解決方案

解決方案1
 0  2023-01-04 13:47:50

文檔中提到了一種類似的配置類型。 這包括三個主要步驟:

  • 為您的服務帳戶創建短期憑據並下載您的服務帳戶密鑰。
  • 創建用於構建 docker 環境的配置文件。 使用上面的 cred 文件來授予所需的權限。
  • 准備好所有配置文件后,使用 docker-compose 命令構建您的環境。

請按照此文檔了解更多詳細信息。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 gcloud auth activate-service-account 有什么限制 如何將 gke-gcloud-auth-plugin 與 gcloud 服務帳戶密鑰文件一起使用? Firebase Gcloud: 服務賬號,私鑰生成錯誤 GCP - 從本地計算機模擬服務帳戶 使用 gcloud 服務帳號登錄 firebase 如何使用 impersonate_service_account 進行流式光束管道 哪些字段應該以 JSON 格式在 Google Cloud 服務帳戶密鑰中保密? 來自 Firebase 和來自 GCloud 的 Firebase 服務帳戶密鑰文件之間的區別? 無法讓 Google Cloud Platform 識別 JSON 服務帳戶密鑰文件。 錯誤:PyOpenSSL 不可用。 建議使用 JSON,但我使用的是 JSON 密鑰 使用 GKE 中的工作負載身份訪問服務帳戶密鑰 json
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM