我可以使用
获取服务帐户的访问令牌gcloud auth print-access-token --impersonate-service-account=<my-service-account>
假设我从某个地方(例如,在环境变量中)有这样一个令牌,我如何使用它来进行身份验证,例如Google Cloud Storage Client SDK?
我查看了 Google Auth 包中各种包的文档,但我发现没有一个似乎接受令牌作为授权方法。
【问题讨论】:
标签: google-cloud-platform gcloud-python
如果您查看code,我不确定访问令牌对于 Python SDK 是否足够,您需要提供更多配置数据,例如项目 ID 等等...(也可以通过环境设置但需要完成)。 通常,如果您设置了所有正确的环境变量,则身份验证应该使用令牌工作。
您遇到的错误是什么,也许您缺少其他一些配置?
【讨论】:
Credentials 子类。现在我尝试了google.oauth2.credentials.Credentials(token),当我在本地尝试时它似乎工作正常,但在Docker容器中它显示Could not automatically determine credentials. Please set GOOGLE_APPLICATION_CREDENTIALS or explicitly create credentials and re-run the application.
gcloud auth print-access-token --impersonate-service-account=<my-service-account>?
gcloud auth print-access-token ... 在 Docker 之外运行。该容器安装了gcloud(或者,如果需要,我可以添加它),但它没有完整的 JSON 密钥文件。我要解决的问题是通过只给它一个令牌(过期)而不是一个密钥文件(它不会)来在容器内进行身份验证。主要原因是执行环境(Flyte)不允许我挂载任何东西或设置环境变量,所以我必须在容器中嵌入 auth 的东西。
GOOGLE_APPLICATION_CREDENTIALS 位置...
我已经能够在 python 中获取和使用 GCloud 访问令牌,如下所示(进程所有者需要该服务的 Service Account Token Creator 权限):
from google.cloud.iam_credentials_v1 import IAMCredentialsClient
from google.oauth2.credentials import Credentials
import googleapiclient.discovery
response = IAMCredentialsClient().generate_access_token(
name=f'projects/-/serviceAccounts/{service_id}',
scope=['https://www.googleapis.com/auth/gmail.insert'],
)
service = googleapiclient.discovery.build(
'gmail',
'v1',
credentials=Credentials(response.access_token), <= use your token here
)
很遗憾,I'm having trouble setting up Domain-wide delegation with this syntax。
【讨论】: