使用服务帐号导入 Google Cloud SQL 的权限

Question

我已成功导出MySQL Export Guide 之后的 MySQL 数据库。

现在，我正在尝试按照MySQL Import Guide 导入 MySQL 数据库。

我已经检查了我正在使用的 service_account_email 的权限，并且我已经允许了 Admin SQL 和 Admin Storage 权限。

我能够在本地使用此命令成功激活我的服务帐户：

gcloud auth activate-service-account <service_account_email> --key-file=<service_account_json_file>  

我运行命令后：

gcloud sql import sql <instance> <gstorage_file> --database=<db_name> --async

我得到了这个信息：

{
  "error": {
    "errors": Array[1][
      {
        "domain": "global",
        "reason": "required",
        "message": "Login Required",
        "locationType": "header",
        "location": "Authorization"
      }
    ],
    "code": 401,
    "message": "Login Required"
  }
}

我尝试过的其他事情

我还尝试使用我的 SQL 实例的 service_account_email，它来自：

gcloud sql instances describe <instance_name>

但是，它似乎有同样的错误。

问题

根据我收到的 REST API JSON 错误，我如何使用service_account_email“登录”，这样我就不会得到401 Error？

Answer 1

问题是关于数据库实例服务帐户在创建的存储桶上写入的权限。解决此问题的步骤

1) 转到您的 Cloud SQL 实例并复制实例的服务帐户（Cloud SQL->{实例名称}->OVERVIEW->服务帐户）

2) 复制服务帐户后，转到要转储的 Cloud Storage Bucket 并为该帐户设置所需的权限（Storage->{bucket name}->permissions->add member）。

Answer 2

云 SQL 实例在不属于您项目的 Google 服务帐号下运行。您需要授予此用户对 Cloud Storage 中要导入的文件的权限。这是一个方便的花花公子 bash sn-p 可以做到这一点。

SA_NAME=$(gcloud sql instances describe YOUR_DB_INSTANCE_NAME --project=YOUR_PROJECT_ID --format="value(serviceAccountEmailAddress)")
gsutil acl ch -u ${SA_NAME}:R gs://YOUR_BUCKET_NAME;
gsutil acl ch -u ${SA_NAME}:R gs://${YOUR_BUCKET_NAME}/whateverDirectory/fileToImport.sql;

第一行获取服务帐户电子邮件地址。 下一行授予此服务帐户对存储桶的读取权限。 最后一行为服务帐户提供文件的读取权限。

Answer 3

Google 也有一些最糟糕的错误报告。如果您收到此错误消息，也可能是您输入了错误的 PATH。就我而言，这是我的存储桶目录的路径。想想看，我无权访问不存在的存储桶。技术上正确，但几乎没用。

Answer 4

在进行一些研究后，根据权限错误，我发现这些步骤对您解决问题更有用：

为了更轻松地测试 ACL 和权限，您可以：

• Create and download a key for a service account in question
• Use 'gcloud auth activate-service-account' to obtain credentials of service account
• 像往常一样使用 gsutil 查看是否可以访问相关对象

您可能需要向相关服务帐户授予额外的 IAM 角色，例如“roles/storage.admin”，请参阅here 的更多信息。