service-accounts - Google Cloud Tasks 无法对 Cloud Run 进行身份验证

标签 service-accounts google-cloud-run google-cloud-tasks

我正在尝试使用 Cloud Tasks 调用 Cloud Run 服务,如文档 here 中所述。
我有一个正在运行的 Cloud Run 服务。如果我使该服务可公开访问,它就会按预期运行。
我创建了一个云队列,并使用本地脚本安排了云任务。这是使用我自己的帐户。脚本看起来像这样

from google.cloud import tasks_v2

client = tasks_v2.CloudTasksClient()

project = 'my-project'
queue = 'my-queue'
location = 'europe-west1'
url = 'https://url_to_my_service'

parent = client.queue_path(project, location, queue)

task = {
        'http_request': {
            'http_method': 'GET',
            'url': url,
            'oidc_token': {
               'service_account_email': 'my-service-account@my-project.iam.gserviceaccount.com'
            }
        }
}

response = client.create_task(parent, task)
print('Created task {}'.format(response.name))
我看到任务出现在队列中,但它失败并立即重试。这样做的原因(通过检查日志)是 Cloud Run 服务返回 401 响应。
我自己的用户具有“服务帐户 token 创建者”和“服务帐户用户”角色。它没有明确的“云任务队列”,但由于我能够在队列中创建任务,我想我已经继承了所需的权限。
服务帐户“my-service-account@my-project.iam.gserviceaccount.com”(我在任务中使用它来获取 OIDC token )具有以下角色:
  • Cloud Tasks Enqueuer(虽然我认为它不需要这个,因为我正在使用自己的帐户创建任务)
  • 云任务任务运行器
  • 云任务查看器
  • 服务帐户 token 创建者(我不确定是否应该将其添加到我自己的帐户 - 安排任务的帐户 - 或应该执行调用 Cloud Run 的服务帐户)
  • 服务帐户用户(此处相同)
  • 云运行调用程序

    • 所以我做了一个肮脏的伎俩:我为服务帐户创建了一个 key 文件,将其下载到本地并通过使用 key 文件向我的 gcloud 配置添加一个帐户来模拟本地。接下来,我运行
    curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" https://url_to_my_service
    这样可行! (顺便说一句,当我切换回我自己的帐户时它也有效)
    最终测试:如果我在创建任务时从任务中删除 oidc_token,我会收到来自 Cloud Run 的 403 响应!不是401...
    如果我从服务帐户中删除“Cloud Run Invoker”角色并使用 curl 在本地重试,我也会得到 403 而不是 401。
    如果我最终使 Cloud Run 服务可公开访问,则一切正常。
    因此,似乎 Cloud Task 无法为服务帐户生成 token 以在 Cloud Run 服务中正确进行身份验证。
    我错过了什么?

    最佳答案

    我在这里遇到了同样的问题是我的修复:

    诊断: 生成 OIDC token 当前不支持 audience 参数中的自定义域。我为我的云运行服务 (https://my-service.my-domain.com) 使用自定义域,而不是云运行生成的 url(在云运行服务仪表板中找到),如下所示: https://XXXXXX.run.app
    屏蔽行为: 在排队到 Cloud Tasks 的任务中,如果 oidc_token 的 audience 字段未明确设置,则使用任务中的目标 url 来设置 OIDC token 请求中的 audience

    在我的情况下,这意味着将要发送到目标 https://my-service.my-domain.com/resource 的任务排队,生成 OIDC token 的受众设置为我的自定义域 https://my-service.my-domain.com/resource 。由于生成 OIDC token 时不支持自定义域,因此我收到了来自目标服务的 401 not authorized 响应。

    我的修复: 使用 Cloud Run 生成的 URL 显式填充受众,以便发出有效 token 。在我的客户端中,我能够使用基本网址 'audience' : 'https://XXXXXX.run.app' 全局设置针对给定服务的所有任务的受众。这生成了一个有效的 token 。我不需要更改目标资源本身的 url。资源保持不变:'url' : 'https://my-service.my-domain.com/resource'
    更多阅读:
    我之前在设置服务到服务身份验证时遇到过这个问题:Google Cloud Run Authentication Service-to-Service

    关于service-accounts - Google Cloud Tasks 无法对 Cloud Run 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61125728/

    上一篇:sed - 在循环内使用 sed 的替代方法

    下一篇:android - 无法使用 npm install -g 安装 turtle-cli

    相关文章:

    google-cloud-platform - Cloud Run 是否具有与 Cloud Functions 的execution_id 等效的内容?

    google-cloud-platform - 保护未经身份验证的 Cloud Run 端点

    mongodb - 使用 VPC 和对等网络时,如何从 Google Cloud Run 连接到 MongoDB Atlas?

    python - 获取错误类型错误 : create_task() takes from 1 to 2 positional arguments but 3 were given while creating google cloud tasks

    gcloud - 如何增加 Gcloud 任务 API 中的最大计划时间?

    google-cloud-functions - 您可以运行/托管可从公共(public) IP 访问的 firebase 模拟器吗?

    c# - 批量请求 - SendAs 电子邮件

    python - 有没有办法使用加载的服务帐户来访问 Cloud Run 中的 Google 表格?

    python - 使用服务帐户安全地创建 Google 日历邀请

    oauth-2.0 - 如何从服务帐户获取刷新 token

    ©2024 IT工具网  联系我们