10

这是一个新手问题,但我刚刚开始使用 Terraform / Terragrunt 进行 GCP 配置,我发现获取 GCP 凭据的工作流程非常混乱。我是专门使用 AWS 的,在 AWS CLI 中获取凭证和配置它们非常简单。

基本上,Google Cloud Provider 文档声明您应该provider像这样定义一个块:

provider "google" {
  credentials = "${file("account.json")}"
  project     = "my-project-id"
  region      = "us-central1"
  zone        = "us-central1-c"
}

credentials字段显示我(显然)必须生成一个服务帐户,并将 JSON 保存在我的文件系统的某个位置。

但是,如果我运行命令gcloud auth application-default login,这会生成一个位于~/.config/gcloud/application_default_credentials.json; 或者我也可以使用gcloud auth login <my-username>. 从那里我可以使用命令从命令行访问 Google API(这也是 Terraform 在幕后所做的)gcloud

那么为什么 Terraform 提供者需要服务帐户的 JSON 文件呢?为什么它不能只使用gcloudCLI 工具已经在使用的凭据?

顺便说一句,如果我将 Terraform 配置为指向该application_default_credentials.json文件,则会收到以下错误:

正在初始化模块...

正在初始化后端...

错误:无法获取现有工作区:查询云存储失败:获取 https://www.googleapis.com/storage/v1/b/terraform-state-bucket/o?alt=json&delimiter=%2F&pageToken=&prefix=projects%2Fsomeproject %2F&prettyPrint=false&projection=full&versions=false : 私钥应该是 PEM 或普通 PKCS1 或 PKCS8;解析错误:asn1:语法错误:序列被截断

4

3 回答 3

9

如果我将 Terraform 配置为指向 application_default_credentials.json 文件,则会收到以下错误:

提供者配置中的credentials字段需要服务帐户密钥文件的路径,而不是用户帐户凭据文件。如果您想使用您的用户帐户进行身份验证,请尝试省略credentials然后运行gcloud auth application-default login如果 Terraform 找不到您的凭据文件,您可以将GOOGLE_APPLICATION_CREDENTIALS环境变量设置为指向~/.config/gcloud/application_default_credentials.json.

在此处阅读有关服务帐户与用户帐户主题的更多信息。对于它的价值,Terraform 文档明确建议不要使用application-default login

不建议使用此方法 - 某些 API 与通过 gcloud 获取的凭据不兼容

同样, GCP 文档声明如下:

重要提示:对于几乎所有情况,无论您是在本地开发还是在生产应用程序中开发,您都应该使用服务帐户,而不是用户帐户或 API 密钥。

于 2019-08-12T05:21:00.530 回答
0

仍然不建议使用gcloud auth application-default login,最好的方法是

https://www.terraform.io/docs/providers/google/guides/provider_reference.html#credentials-1

于 2020-02-26T09:23:41.143 回答
0

更改凭据以直接指向文件位置。其他一切看起来都不错。

示例:凭据 = "/home/scott/gcp/FILE_NAME"

于 2021-08-14T21:28:56.263 回答