使用服务帐户访问Google Container构建器日志 - 403 Forbidden Error

Question

我有一个服务帐户,可以在Google Container Builder上触发构建.这工作正常,但现在我想使用该服务帐户检索构建日志.

这是获取日志的代码(使用google-auto-auth包获取令牌,这部分在其他地方运行良好,所以我真的不认为这是问题):

var url = logsBucket + '/log-' + buildId + '.txt';
debug('Requesting log at %s', url);
request
  .get(url)
  .set('Authorization', 'Bearer ' + token)
  .end(function(err, res) {
    if (err) return cb(err);
    var log = res.body;
    debug('Received build log : %o', log);
    cb(null, log);
  });

目前,尽管服务帐户可以访问以下角色,但401 Unauthorized已失败:

• Admin kubernetes引擎
• 管理存储
• 存储中的管理对象
• 云容器生成器
• Reader Cloud容器构建器
• 读者存储对象

这是错误:

{
  "message": "Forbidden",
  "stack": "Error: Forbidden\n    at Request.callback (/app/node_modules/superagent/lib/node/index.js:696:15)\n [...]",
  "status": 403,
  "response": {
    "req": {
      "method": "GET",
      "url": "https://storage.googleapis.com/{PROJECT_ID}.cloudbuild-logs.googleusercontent.com/log-42602b35-af02-4e75-8100-8a3bd0e720fb.txt",
      "headers": {
        "user-agent": "node-superagent/3.8.2",
        "authorization": "Bearer {BEARER_TOKEN}"
      }
    },
    "header": {
      "x-guploader-uploadid": "{SOME-UPLOAD-ID}",
      "content-type": "application/xml; charset=UTF-8",
      "content-length": "337",
      "date": "Wed, 10 Jan 2018 11:06:54 GMT",
      "expires": "Wed, 10 Jan 2018 11:06:54 GMT",
      "cache-control": "private, max-age=0",
      "server": "UploadServer",
      "alt-svc": "...",
      "connection": "close"
    },
    "status": 403
  }
}

知道为什么请求失败了403？它可能来自缺失的范围吗？我scopes: 'https://www.googleapis.com/auth/cloud-platform'到目前为止只设定了.

Answer 1

GCS权限早于IAM,因此工作方式略有不同.

要查看构建日志,有问题的服务帐户除了具有Builder Editor角色外,还需要是项目的Viewer.

• role/viewer 包括角色 role/cloudbuild.builds.viewer
• role/cloudbuild.builds.editor

作为最后一步,您可能希望:(不必要)

• 禁用 Container Builder API并重新启用它.这样做可以让您的服务帐户再次访问您的项目.

另请看:docs