google-cloud-platform - 从云调度程序调用谷歌云函数时获取权限被拒绝错误

Question

我正在尝试调用由云调度程序触发的 Http 谷歌云功能。
但是每当我尝试运行云调度程序时，它总是说 Permsiion denies 错误

 httpRequest: {
  status: 403   
 }
 insertId: "14igacagbanzk3b"  
 jsonPayload: {
  @type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"   
  jobName: "projects/***********/locations/europe-west1/jobs/twilio-cloud-scheduler"   
  status: "PERMISSION_DENIED"   
  targetType: "HTTP"   
  url: "https://europe-west1-********.cloudfunctions.net/function-2"   
 }
 logName: "projects/*******/logs/cloudscheduler.googleapis.com%2Fexecutions"  
 receiveTimestamp: "2020-09-20T15:11:13.240092790Z"  
 resource: {
  labels: {
   job_id: "***********"    
   location: "europe-west1"    
   project_id: "**********"    
  }
  type: "cloud_scheduler_job"   
 }
 severity: "ERROR"  
 timestamp: "2020-09-20T15:11:13.240092790Z"  
}

我试过的解决方案 -

按照一些用户的建议，尝试将 Google 云功能与 App 引擎放在同一区域。

可以访问 Google 提供的 cloud schduler sa 服务- **** @gcp-sa-cloudscheduler.iamaccount .gserviceaccount.com 所有者角色和 Cloud Functions 管理员角色

我的云功能的入口设置为允许所有流量。

我的云调度程序仅在我运行以下命令时才有效
gcloud 函数 add-iam-policy-binding cloud-function --member="allUsers"--role="roles/cloudfunctions.invoker"

Answer 1

在 Cloud Scheduler 页面上，您必须添加一个服务帐户以用于调用私有(private) Cloud Function。在 Cloud Scheduler 设置中，您必须

点击 SHOW MORE在底部

选择 Add OIDC token在 Auth Header栏目

在调度程序的服务帐户电子邮件中添加服务帐户电子邮件

使用与 Cloud Functions 相同的基本 URL(部署时提供的 URL)填写 Audience

Scheduler 的服务帐户电子邮件必须被授予角色 functions.Invoker