GCP 中的秘密管理器权限问题
问题描述 投票:0回答:1
我目前正在GCP云函数中开发一个简单的代码。
问题是我需要连接到秘密管理器才能获取 api 密钥。
在 jupyter 中,这段代码非常适合我:
def access_secret_version(secret_id):
project_id = os.getenv("GCP_PROJECT", "My_Project")
name = f"projects/{project_id}/secrets/{secret_id}/versions/1"
response = secret_client.access_secret_version(request={"name": name})
response = response.payload.data.decode("UTF-8")
return json.loads(response.replace("'", '"'))
ACCESS_TOKEN = access_secret_version("api_key")
但是当我通过 CI/CD 部署它时,它会抛出这个错误:
"message": "Function failed on loading user code. This is likely due to a bug in the user code. Error message: File \"<frozen importlib._bootstrap_external>\", line 995, in exec_module
File \"<frozen importlib._bootstrap>\", line 488, in _call_with_frames_removed
File \"/workspace/main.py\", line 40, in <module>
ACCESS_TOKEN = access_secret_version(\"api_key\")
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
File \"/workspace/main.py\", line 35, in access_secret_version
response = secret_client.access_secret_version(request={\"name\": name})
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/cloud/secretmanager_v1/services/secret_manager_service/client.py\", line 1800, in access_secret_version
response = rpc(
^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/gapic_v1/method.py\", line 131, in __call__
return wrapped_func(*args, **kwargs)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/retry/retry_unary.py\", line 293, in retry_wrapped_func
return retry_target(
^^^^^^^^^^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/retry/retry_unary.py\", line 153, in retry_target
_retry_error_helper(
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/retry/retry_base.py\", line 212, in _retry_error_helper
raise final_exc from source_exc
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/retry/retry_unary.py\", line 144, in retry_target
result = target()
^^^^^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/timeout.py\", line 120, in func_with_timeout
return func(*args, **kwargs)
^^^^^^^^^^^^^^^^^^^^^
File \"/layers/google.python.pip/pip/lib/python3.12/site-packages/google/api_core/grpc_helpers.py\", line 78, in error_remapped_callable
raise exceptions.from_grpc_error(exc) from exc
google.api_core.exceptions.PermissionDenied: 403 Permission 'secretmanager.versions.access' denied for resource 'projects/project/secrets/api_key/versions/latest' (or it may not exist).. Please visit https://cloud.google.com/functions/docs/troubleshooting for in-depth troubleshooting documentation."
我的用户和帐户服务具有相同的角色,并且我已经授予帐户服务管理员访问秘密管理器、秘密版本等的权限。
我也已经验证了秘密管理器中存在密钥
有人可以帮我解决这个问题吗?或者我应该向帐户服务授予什么权限?
1个回答
0
投票
投票
您还可以将机密作为环境变量传递给云函数,而不是使用 python 客户端库来检索机密。
服务帐户(显示在函数的“详细信息”选项卡中)仍需要具有
roles/secretmanager.secretAccessor最新问题
- 如何批量跳过命令
- 编译器和语言的选择会影响时间复杂度吗?
- 如何访问 GitHub 可重用操作的输出?
- 如何从 pg_data_dump 部分恢复数据?
- 类型(我的类)必须是不可空类型才能在泛型方法中用作参数“T”
- 为什么在变量超出作用域后立即取消引用悬空指针时,Go 不会抛出错误?
- 从创建失效中存储或检索标识符
- 我应该使用哪种位集实现来获得最大性能?
- API_KEY_ANDROID_APP_BLOCKED - 路线 API
- 如何设置没有元素的纯文本样式?
- SQLDelight - 如何指定查询的返回类型?
- Deno 2 Vscode 调试开始引发大量 js 错误
- Glue 连接测试通过时,AWS 爬网程序抛出连接错误
- 键入断言嵌套接口
- 从内部谷歌网站到bigquery的ETL
- Rails 最佳实践误报未使用的方法
- Django Channels 中出现错误消息“WebSocket 握手 - WebSocket REJECT - WebSocket DISCONNECT”
- Docusign:日期签名,不含时间部分
- 您可以将 OCaml 项目本地编译为 Windows 库吗?
- 命名空间控制器的RemoveUnusedMethodsInControllersCheck的rails_best_practices语法
© www.soinside.com 2019 - 2024. All rights reserved.