那些遇到过的问题

可以使用 GKE Workload Identity 访问 Google 表格吗?

and*_*hen 6 google-oauth service-accounts google-kubernetes-engine google-sheets-api

我目前正在使用GKE Workload Identity从 GKE 中访问 Google Cloud Platform 资源。这对于 Google Cloud Storage 和其他平台资源非常有效。

但是,当我尝试使用 GKE Workload Identity 访问 Google Sheet 时,我遇到了“身份验证范围不足”的问题。

当我为服务帐户生成密钥文件并在我的代码中使用它时,我可以手动将范围设置为https://www.googleapis.com/auth/spreadsheets. 它按预期工作,我可以访问工作表。如果我将范围更改https://www.googleapis.com/auth/cloud-platform为 ,则会收到与 GKE Workload Identity 相同的错误“身份验证范围不足”。此结果表明服务帐号运行良好,因此问题似乎与分配给 GKE Workload Identity 的范围有关。

使用 GKE Workload Identity,我使用credentials = google.auth.default()[1]在 Python 中检索凭据。该credentials对象具有预期的服务帐户,并且范围设置为https://www.googleapis.com/auth/cloud-platform。我现在可以访问服务帐户有权访问的存储桶和其他云资源。但是,Google Sheets 似乎需要https://www.googleapis.com/auth/spreadsheets范围,但我还没有找到任何设置它的方法。从 GKE 集群中运行的 GKE 元数据服务器检索工作负载身份(服务帐号)和范围。据我所知,GKE Workload 身份的范围似乎是“硬编码”到https://www.googleapis.com/auth/cloud-platform. 我没有找到有关是否可以更改的信息。

(我尝试将电子表格范围添加到 GKE 节点 oauth 范围。没有效果。从我从文档中可以理解的内容来看,它应该是无关的。)

(当然,我可以只使用密钥文件来完成这项工作,但 GKE Workload 身份的全部意义正是为了避免安全生成和分发密钥的所有麻烦)

[1]用户指南 — google-auth 1.6.2 文档

dev*_*vir 3

根据google-auth指南,您是否像这样设置电子表格范围?

credentials, project = google.auth.default(
    scopes=['https://www.googleapis.com/auth/spreadsheets'])
Run Code Online (Sandbox Code Playgroud)

在使用默认客户端时,我看到了一些相同的行为,但在使用 curl 进行测试时,我确实使用 Workload Identity 取得了一些成功。

curl我们可以在测试 Pod 上使用该流程(例如部署 ubuntu Pod 并安装curl)。您应该能够通过卷曲 gke-metadata-server 在 GKE pod 上验证作用域令牌是否按预期运行:

$ curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token?scopes=https%3A//www.googleapis.com/auth/spreadsheets%20
Run Code Online (Sandbox Code Playgroud)

ACCESS_TOKEN然后,假设我们已经设置了和SPREADSHEET_ID环境变量,我们就可以像这样使用 Sheets API 请求中返回的令牌:

$ curl -X GET -H "Authorization: Bearer $ACCESS_TOKEN" https://sheets.googleapis.com/v4/spreadsheets/$SPREADSHEET_ID
Run Code Online (Sandbox Code Playgroud)

这将返回有关工作表的所有信息,而不是 403 错误。

我相信这就是客户端库应该在幕后做的事情,但这里可能存在一些错误。

以下是在配置了 Workload Identity 的 GKE Pod 上运行的 Go 应用程序的工作示例(服务帐户已被授予工作表 ID 的查看者访问权限)。

go.mod

module example.com/m
  
go 1.13

require (
        golang.org/x/oauth2 v0.0.0-20210514164344-f6687ab2804c
        google.golang.org/api v0.48.0
)
Run Code Online (Sandbox Code Playgroud)

main.go

package main
  
import (
        "fmt"
        "golang.org/x/oauth2"
        "golang.org/x/oauth2/google"
        "google.golang.org/api/sheets/v4"
)

func main() {
        client, err := google.DefaultClient(oauth2.NoContext, sheets.SpreadsheetsScope)
        if err != nil {
                panic(err)
        }
        srv, err := sheets.New(client)
        if err != nil {
                panic(err)
        }
        resp, err := srv.Spreadsheets.Values.Get("REPLACE_WITH_YOUR_SHEET_ID", "REPLACE_WITH_YOUR_RANGE").Do()
        if err != nil {
                panic(err)
        }
        fmt.Println(fmt.Sprintf("%+v", resp.Values))
}
Run Code Online (Sandbox Code Playgroud)

FWIW 我注意到使用旧版本的 oauth2 库肯定不适用于工作负载身份和范围。更新到使用新版本解决了这个问题。

归档时间:

查看次数:

510 次

最近记录:

4 年,12 月 前
相关归档
Google.GData.Client.GDataRequestException - 旧代码中的身份验证突然失败 15
如何创建具有 Google Drive 访问权限的服务帐户 7
Google Oauth 从访问中删除范围 5
“永久”GKE kubectl 服务帐号身份验证 5
Google APi + Passport + React:身份验证流程 5
即使对于大多数一般范围,“权限不足:请求的身份验证范围不足” 5
如何使用云 SQL 代理通过 GKE 配置云 SQL? 5
每次访问应用程序时,Google auth2都会请求许可 4
Google Container Engine上的跨区域负载均衡+路由 3
在 Kubernetes 中,当另一个容器使用核心时,Go 容器是否会使用所有核心 3
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
如何以MS Word保留格式和语法高亮显示代码片段? 1877
从Git提交中删除文件 1484
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
Apache Camel究竟是什么? 1310
有没有办法从APK文件中获取源代码? 1218
angular-route和angular-ui-router之间有什么区别? 1064
Access-Control-Allow-Origin标头如何工作? 1050