那些遇到过的问题

权限“cloudkms.cryptoKeyVersions.useToDecrypt”拒绝资源...key

tri*_*kol 6 google-cloud-functions google-cloud-kms google-cloud-iam google-cloud-build

我正在使用 Google Cloud Functions 构建一个 http 端点。我有一个加密的机密存储为文件,该文件在函数中加载和解密,以防止我的机密存储在代码中。通常我从 Google Cloud Storage 动态加载一些东西,但似乎 KMS 更适合这个目的。

使用 KMS 的代码如下所示:

getCredentials: async function () {
    const kms = require('@google-cloud/kms');
    const client = new kms.KeyManagementServiceClient();
    const fs = require('fs');
    let ciphertext = (fs.readFileSync('secret.enc')).toString('base64')
    const name = client.cryptoKeyPath(
      '[project]',
      'global',
      '[keyring]',
      '[key]'
    );
Run Code Online (Sandbox Code Playgroud)

一切都在本地运行良好,但在使用 http 触发器调用时,我似乎无法使该函数正常工作。检查日志我看到了这个:

textPayload:  "Error: Permission 'cloudkms.cryptoKeyVersions.useToDecrypt' denied for resource 'projects/[projectname]/locations/global/keyRings/[keyring]/cryptoKeys/[key]'.
    at Http2CallStream.call.on (/srv/functions/node_modules/@grpc/grpc-js/build/src/client.js:96:45)
    at Http2CallStream.emit (events.js:194:15)
    at Http2CallStream.EventEmitter.emit (domain.js:459:23)
    at process.nextTick (/srv/functions/node_modules/@grpc/grpc-js/build/src/call-stream.js:71:22)
    at process._tickCallback (internal/process/next_tick.js:61:11)"
Run Code Online (Sandbox Code Playgroud)

我已经尝试了各种可用的 IAM 权限(包括所有者),所以似乎我必须有更深层次的误解。

这可能与我无法让 Google Cloud Build 部署该功能的另一个问题有关。它在没有帮助的情况下出错:

starting build "b2321cdb-bd4c-4828-8d38-80a86f4fe808"

FETCHSOURCE
Initialized empty Git repository in /workspace/.git/
From https://source.developers.google.com/p/[projectname]/r/[repo]
* branch 314691d6e63199caf867c74bcd0090bc70386a0e -> FETCH_HEAD
HEAD is now at 314691d Merge pull request #2 from [repo]/tristans/update-deploy-cloudbuild
BUILD
Already have image (with digest): gcr.io/cloud-builders/gcloud
Deploying function (may take a while - up to 2 minutes)...
...............failed.
ERROR: (gcloud.functions.deploy) OperationError: code=3, message=Build failed: Build error details not available
ERROR
ERROR: build step 0 "gcr.io/cloud-builders/gcloud" failed: exit status 1
Run Code Online (Sandbox Code Playgroud)

似乎您不需要任何 KMS 权限来部署functions deploy name --trigger-http --runtime=nodejs10 --entry-point=fname --project=project,就像我说的那样,当我在gcloud deploy本地运行时它可以正常工作,所以我不确定为什么会失败。我们有几个具有类似部署流程设置的云功能,所以 KMS 的工作方式似乎有一些不明显或损坏的东西对我有用,但也许这是一个红鲱鱼。

如果有更好的方法来使用 KMS 用于此目的,我全听!

Med*_* V. 7

根据Google Functions 文档,函数的运行时服务帐户是PROJECT_ID@appspot.gserviceaccount.com
您需要向此帐户授予 KMS 解密权限。
这可以在 Google 云网络控制台的“IAM & Admin / IAM”部分下完成

在此处输入图片说明

归档时间:

查看次数:

3172 次

最近记录:

5 年,10 月 前
相关归档
cloudbuild.yaml包含不同的云构建器配置 9
Cloud Function 有没有办法处理长时间运行的操作? 8
在Google Cloud构建中的两个容器之间进行通信 7
在构建启用重试的云函数时,如何实现增量回退? 6
从 Firebase 函数(节点)上传时未设置 Firebase 存储文件类型 5
使用python API从GCP管理Kubernetes集群 5
错误:在 Firebase 中部署期间无法成功分析函数代码库 5
使用服务帐户通过 API 从 BigQuery 中基于 Google Sheets 的表查询数据 3
在终端中部署一个函数成功但没有出现在控制台中 3
部署 Gen2 Cloud Function 时出现权限被拒绝错误 3
难疑归档
基于表单的网站身份验证的权威指南 5311
使用Git将特定文件重置或还原到特定版本? 4255
电话和申请有什么区别? 3012
在JavaScript中循环遍历数组 2940
将文本垂直对齐到UILabel中的顶部 2141
如何从Bash脚本检查程序是否存在? 2032
将(移动)子目录分离到单独的Git存储库中 1712
静态只读与const 1349
const int*,const int*const和int const*之间有什么区别? 1262
如何撤消"git commit --amend"而不是"git commit" 1198