假设我在项目 X 中有谷歌云存储存储桶,并且想要从部署在项目 Y 上的代码(Python)上传项目 X 中的存储桶中的对象。 项目 X 和 Y 都具有相同的凭据(登录 ID)。
使用OAuth2.0或任何其他建议可以实现吗? 我尝试过使用 Service Account,AppAssertionCredentials & OAuth2DecoratorFromClientSecrets 但失败了。
credentials = GoogleCredentials.get_application_default()
service = discovery.build('storage', 'v1', credentials=credentials)
req = service.objects().insert(
bucket=bucket_name,
name=fileName,
media_body=media)
这是一个非常常见的用例。您无需在代码中执行任何特殊操作即可访问其他项目中的存储桶。存储桶名称是全局唯一的,因此您的应用程序将以与引用自己项目中的存储桶相同的方式引用另一个项目中的现有存储桶。
为了使插入调用成功,您需要使运行该代码的帐户成为您要写入的存储桶的所有者。
这是应用程序引擎代码吗?应用程序引擎代码作为特定服务帐户运行。您需要向该服务帐户授予权限。前往 https://console.developers.google.com/permissions/serviceaccounts?project=_ 查找该服务帐户的名称。可能类似于“它可能是 [电子邮件受保护]”。
现在,使用 GCS UI 或通过 gsutil,让该帐户完全控制存储桶:
gsutil acl ch -u [email protected]:FC gs://myBucketName
此外,要向您正在使用的服务账户/主体授予 ObjectViewer 存储桶 IAM 权限,您需要向拥有该服务账户/主体的项目中的服务账户授予服务使用消费者角色。