3

我正在使用cloud storage带有 kms 密钥的文件上传。这是我的代码:

await storage.bucket(config.bucket).upload(file, {
  kmsKeyName: `projects/${process.env.PROJECT_ID}/locations/global/keyRings/test/cryptoKeys/nodejs-gcp`,
  destination: 'mmczblsq.kms.encrypted.doc'
});

我有一个获得许可的cloud-storage-admin.json服务帐户。使用此服务帐户cloud storage admin初始化。storage

const storage: Storage = new Storage({
  projectId: process.env.PROJECT_ID,
  keyFilename: path.resolve(__dirname, '../.gcp/cloud-storage-admin.json')
});

而且,我使用gcloud kms keys add-iam-policy-binding添加roles/cloudkms.cryptoKeyEncrypterDecryptercloud-storage-admin.json服务帐户。

当我尝试使用 kms 密钥上传文件时,仍然出现此权限错误:

Cloud KMS 密钥的权限被拒绝。请确保您的云存储服务帐号已被授权使用此密钥。

更新

☁  nodejs-gcp [master] ⚡  gcloud kms keys get-iam-policy nodejs-gcp --keyring=test --location=global
bindings:
- members:
  - serviceAccount:cloud-storage-admin@<PROJECT_ID>.iam.gserviceaccount.com
  - serviceAccount:service-16536262744@gs-project-accounts.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwWJ2Pdc5YM=
version: 1
4

2 回答 2

6

当您使用 时kmsKeyName,Google Cloud Storage 是调用 KMS 的实体,而不是您的服务帐户。这有点令人困惑:

  1. 您的服务帐号有权调用 Cloud Storage API
  2. 然后,Cloud Storage 服务帐号在传输过程中调用 KMS API

您需要获取 Cloud Storage 服务帐号并授予该服务帐号调用 Cloud KMS 的能力:

  • 方案一:打开API explorer,授权,执行

  • 选项 2:安装gcloud,对 gcloud 进行身份验证,安装oauth2l ,然后使用您的项目 ID运行此curl命令:[PROJECT_ID]

    curl -X GET -H "$(oauth2l header cloud-platform)" \
  "https://www.googleapis.com/storage/v1/projects/[PROJECT_ID]/serviceAccount"
  • 选项 3:相信我,它采用格式service-[PROJECT_NUMBER]@gs-project-accounts.iam.gserviceaccount.com并从您[PROJECT_NUMBER]gcloud projects list网站或网络界面获取。
于 2019-05-27T08:57:58.853 回答
0

是否可以使用提供的服务帐户而不是云存储服务帐户来加密文件?这有点令人困惑。如果我登录云存储,那么我可以看到所有文件都已解密(因为云存储服务帐户有权解密它)。如果我使用我的服务帐户,那么任何登录云存储的人都会看到加密文件(当然这个人不应该有权访问 KMS 密钥)。

我试图在应用程序端加密这个文件(使用 KMS),但有长度限制(65KB)。

于 2020-09-15T07:22:52.383 回答