那些遇到过的问题

如何将我的 gcloud 用户信用安全地放入容器中,并在本地测试时使用它们来模拟服务帐户?

red*_*888 5 google-cloud-platform gcloud google-iam

从这个开始:

  • 用户拥有自己的 Google 用户帐户,这些帐户是通过 gcloud 登录在本地设置的
  • 应用程序以通常的方式使用 gcp API - 默认情况下它将查找 GOOGLE_APPLICATION_CREDENTIALS、GCE 角色、服务帐户,或使用本地用户 gcloud 配置的凭据
  • 当用户在本地运行它时,它将使用自己的用户帐户,当在 gcp 中运行时,它将使用服务帐户
  • 用户的帐户还有权模拟服务帐户。因此,当用户首先在本地运行应用程序时,gcloud config set auth/impersonate_service_account [SA_FULL_EMAIL]它可以使用与在开发环境中运行的相同的信用来运行,而无需下载任何密钥

现在可以了。但我也希望能够在容器中本地运行应用程序。使用 docker/docker-compose/minikube/etc 如何才能模拟服务帐户?

容器需要访问gcloud凭据,并且在应用程序启动之前还需要在会话中设置模拟。这不能在代码中完成 - 应用程序应该正常使用 API,而不必做任何不同的事情。

编辑:当应用程序在开发或生产 GCP 帐户/项目中运行时,它们在具有该特定应用程序的正确范围权限的服务帐户的上下文中运行。开发人员自己的用户帐户对开发环境具有广泛的权限。在本地运行时,使用与应用程序在开发环境中运行相同的服务帐户运行而不是开发人员自己的用户帐户非常有用

Sup*_*Eye 2

实现此目的的正确方法是 Google Cloud 提供的 Secret Manager。

  • 在您的 Google Cloud 帐户中激活 Secret Manager API。
  • 使用 GC UI 或 sdk 创建秘密数据和相关负载。
  • 在您的 settings.py 中使用以下函数和您的项目 ID。
  • 授予您的服务帐户访问 Secrets 的权限(如果它还没有访问权限)
  • 使用 Secret Manager 访问代码中的有效负载,而无需显式公开有效负载。
def access_secret_version(secret_id):
    """
    Access the payload for the given secret version if one exists. The version
    can be a version number as a string (e.g. "5") or an alias (e.g. "latest").
    """
    project_id = PROJECT_ID
    version_id = 1
    # Import the Secret Manager client library.
    from google.cloud import secretmanager_v1beta1 as secretmanager

    # Create the Secret Manager client.
    client = secretmanager.SecretManagerServiceClient()

    # Build the resource name of the secret version.
    name = client.secret_version_path(project_id, secret_id, version_id)

    # Access the secret version.
    response = client.access_secret_version(name)

    # Print the secret payload.
    #
    # WARNING: Do not print the secret in a production environment - this
    # snippet is showing how to access the secret material.
    payload = response.payload.data.decode('UTF-8')
    # logging.info('Plaintext: {}'.format(payload))
    logging.info('Secret accessed for  :' + secret_id)
    return payload
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1063 次

最近记录:

2 年,6 月 前
相关归档
gcloud app部署失败:未找到或未找到V2格式的Docker镜像 9
如何暂停 GCP Pubsub 推送订阅? 8
Google云端存储无法检索存储桶或存储桶内容 7
如何离开项目? 6
如何指定 gcloud csv 格式分隔符 3
如何在谷歌云平台上从 PHP 7.0 升级到 7.3? 3
我的云跑服务如何调用其他云跑服务? 3
Spanner 的 DatabaseClient 线程安全吗? 2
列出按时间排序的 Google Cloud 资源 2
使用 firebase 身份验证时,Google Cloud API Gateway 无法调用 Cloud Run 服务 1
难疑归档
迭代HashMap 3244
使用jQuery从下拉列表(选择框)中获取所选文本 2240
打印Java数组最简单的方法是什么? 1852
检索HTML元素的位置(X,Y) 1418
如何获取MySQL用户帐户列表 1320
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
如何配置git在本地忽略某些文件? 1237
SOAP与REST(差异) 1206
更改列:null为非null 1177
如何从JavaScript对象中删除密钥? 1171