我正在开发一个应用程序,我需要从我的开发人员控制台创建、编辑和删除项目。
为此,我正在使用Cloud Resource Manager API 。
向 API 发出请求需要 OAuth 2.0,因此我使用OAuth2.0 服务器到服务器(双腿 OAuth 或 2LO)
获得授权令牌后,我向 API 发出创建新项目的请求,但我被告知我没有许可证:The caller has no permissions.
但是,如果我请求所有项目的列表,我会得到正确的响应。
我如何获得许可?
我按照所有步骤使用 OAuth 2.0 服务器到服务器并拥有一个 Google 工作帐户,服务帐户具有所有者角色和域的委托。
谢谢!!
我懒得手动运行 OAuth 身份验证路径,所以我总是使用旧gcloud auth print-access-token技巧。
我所做的:
创建服务帐户密钥文件:gcloud iam service-accounts keys create <PATH/TO/YOUR_KEY_FILE>.json --iam-account=<YOUR_SERVICE_ACCOUNT>
激活该帐户:gcloud auth activate-service-account <YOUR_SERVICE_ACCOUNT> --key-file=<PATH/TO/YOUR_KEY_FILE>.json
使用您的新项目调用 API:curl -H"Authorization: Bearer $(gcloud auth print-access-token)" -H'content-type:application/json' https://cloudresourcemanager.googleapis.com/v1/projects -d'{"projectId": "<YOUR_PROJECT_ID>", "parent":{"type":"organization","id":"<YOUR_ORG_ID>"}}'
这将返回一个您可以查询的操作 ID,直到它完成:curl -H"Authorization: Bearer $(gcloud auth print-access-token)" https://cloudresourcemanager.googleapis.com/v1/operations/<OPERATION_ID>
这就是我通过常规外壳所做的。GOOGLE_APPLICATION_CREDENTIALS您可以通过使用 Google 的身份验证库之一并将 env 变量设置为在步骤 1 中选择的路径,将其外推到任何脚本,如GCP 身份验证文档中所述。Google 的身份验证库将直接为您提供访问令牌。
要获得更简单的解决方案,您可以简单地将 Cloud Resource Manager 客户端库用于您的语言。您只需下载密钥文件,设置GOOGLE_APPLICATION_CREDENTIALS环境变量,客户端将为您完成所有工作。如果您在 GCP(GAE、GCF、GCE、GKE、...)中运行此脚本,则库很可能可以直接从平台获取凭据,甚至无需创建密钥或设置任何 env 变量.