我想从使用CloudRun部署的应用程序创建指向Google Cloud Storage资源的签名URL。
我遵循this指南,使用具有GCS角色的自定义服务帐户设置CloudRun。
我的目的是使用V4签名从CloudRun创建签名URL。此用例有a guide,其中文件service_account.json用于生成JWT配置。当我从Google的IAM下载文件时,这对我在localhost上有效。我想避免将此文件提交到存储库中,而使用CloudRun UI中提供的文件。
我希望CloudRun将此服务帐户文件注入到应用容器中,并使其在GOOGLE_APPLICATION_CREDENTIALS变量中可访问,但事实并非如此。
您对此有何建议?谢谢。
答案 0 :(得分:2)
正如您所说,Golang存储客户端库需要一个服务帐户json文件来对URL进行签名。
目前在GitHub中有一个feature request open,但是您应该可以使用我发现的here:
这个示例来解决这个问题。import (
"context"
"fmt"
"time"
"cloud.google.com/go/storage"
"cloud.google.com/go/iam/credentials/apiv1"
credentialspb "google.golang.org/genproto/googleapis/iam/credentials/v1"
)
const (
bucketName = "bucket-name"
objectName = "object"
serviceAccount = "[PROJECTNUMBER]-compute@developer.gserviceaccount.com"
)
func main() {
ctx := context.Background()
c, err := credentials.NewIamCredentialsClient(ctx)
if err != nil {
panic(err)
}
opts := &storage.SignedURLOptions{
Method: "GET",
GoogleAccessID: serviceAccount,
SignBytes: func(b []byte) ([]byte, error) {
req := &credentialspb.SignBlobRequest{
Payload: b,
Name: serviceAccount,
}
resp, err := c.SignBlob(ctx, req)
if err != nil {
panic(err)
}
return resp.SignedBlob, err
},
Expires: time.Now().Add(15*time.Minute),
}
u, err := storage.SignedURL(bucketName, objectName, opts)
if err != nil {
panic(err)
}
fmt.Printf("\"%v\"", u)
}
答案 1 :(得分:0)
Cloud Run(和其他计算平台)不注入服务帐户密钥文件。相反,它们使instance metadata service上有access_token个可用。然后,您可以与JWT交换此访问令牌。
但是,通常情况下,Google的客户端库和gcloud在GCP的计算平台上都是开箱即用的,而无需明确地进行身份验证。因此,如果您使用链接页面上的说明(gcloud或代码示例),它应该是开箱即用的。