25

我正在 Nodejs (10) 中编写一个云函数,并尝试像这样访问一个秘密:

const [secret] = await new SecretManagerServiceClient().accessSecretVersion({
    name: `projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/latest`
})

我在 Web 控制台中创建了密码,并且代码中使用的名称与现有密码的名称相匹配。在云功能详情页面,服务账号是PROJECT_ID@appspot.gserviceaccount,com,所以我添加了secretmanager.secretAccessor角色。但是,我每次仍然遇到相同的错误:

Error: 7 PERMISSION_DENIED: Permission 'secretmanager.versions.access' denied for resource 'projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/latest' (or it may not exist).

如果我指定具体版本或只使用最新版本,这没有区别。

4

6 回答 6

26

HTTP云函数代码:

const { SecretManagerServiceClient } = require('@google-cloud/secret-manager');

const secretManagerServiceClient = new SecretManagerServiceClient();
const name = 'projects/shadowsocks-218808/secrets/workflow/versions/latest';

exports.testSecretManager = async (req, res) => {
  const [version] = await secretManagerServiceClient.accessSecretVersion({ name });
  const payload = version.payload.data.toString();
  console.debug(`Payload: ${payload}`);
  res.sendStatus(200);
};

部署:

gcloud functions deploy testSecretManager --runtime nodejs10 --trigger-http --allow-unauthenticated

Deploying function (may take a while - up to 2 minutes)...done.                                                                                                                                                                                                                        
availableMemoryMb: 256
entryPoint: testSecretManager
httpsTrigger:
  url: https://us-central1-shadowsocks-218808.cloudfunctions.net/testSecretManager
ingressSettings: ALLOW_ALL
labels:
  deployment-tool: cli-gcloud
name: projects/shadowsocks-218808/locations/us-central1/functions/testSecretManager
runtime: nodejs10
serviceAccountEmail: shadowsocks-218808@appspot.gserviceaccount.com
sourceUploadUrl: https://storage.googleapis.com/gcf-upload-us-central1-43476143-b555-4cb2-8f6f-1b2d1952a2d7/42c4cda4-98a8-4994-a3be-d2203b9e646a.zip?GoogleAccessId=service-16536262744@gcf-admin-robot.iam.gserviceaccount.com&Expires=1596513795&Signature=kbLw5teN8EoYmj4fEweKKiIaakxcrhlUg2GGHV4jWJjvmeEfXePpRNOn9yz2zLn%2Fba0UqM9qdJMXujs5afBk%2BVBmywPEiptAZe2qgmldpr%2BsYejFu0woNgsPHVqtJ0NoWDo6W2dq4CuNNwO%2BaQ89mnhahUUQTInkJ55Y3wCIe9smk%2BqWtcvta3zICiToA7RQvPKY5MS6NViyj5mLxuJtDlTY9IKPL%2BqG6JAaQJSFYKYVgLyb6JfirXk8Q7%2FMvnHPpXPlhvsBLQksbF6jDPeefp2HyW4%2FSIQYprfpwKV3hlEIQyRQllz5J9yF83%2FxDPh%2BQPc5QmswKP5XAvYaszJPEw%3D%3D
status: ACTIVE
timeout: 60s
updateTime: '2020-08-04T03:34:32.665Z'
versionId: '2'

测试:

gcloud functions call testSecretManager --data '{}'

得到和你一样的错误:

error: |-
  Error: function terminated. Recommended action: inspect logs for termination reason. Details:
  7 PERMISSION_DENIED: Permission 'secretmanager.versions.access' denied for resource 'projects/shadowsocks-218808/secrets/workflow/versions/latest' (or it may not exist).

解决方案:

您可以serviceAccountEmail: shadowsocks-218808@appspot.gserviceaccount.com从云功能的部署细节中找到。

转到IAM & AdminWeb UI,单击ADD ANOTHER ROLE按钮,将Secret Manager Secret Accessor角色添加到此服务帐户。

在此处输入图像描述

再次测试:

> gcloud functions call testSecretManager --data '{}'

executionId: 1tsatxl6fndw
result: OK

阅读testSecretManager云功能的日志:

gcloud functions logs read testSecretManager

您将看到秘密有效负载字符串的日志。

于 2020-08-04T04:35:08.743 回答
15

我有同样的问题,要解决它,我只需要:

  1. 在我的 Google Cloud Function 的 General 下找到 Service Account。

    看起来像<project-name>@appspot.gserviceaccount.com

  2. 在 IAM Admin 中,将Secret Manager Secret Accessor角色添加到此服务账户。

在此之后,一切正常!

于 2020-08-08T20:29:36.173 回答
4

我在使用 secretmanager 和 python google-cloud-secretmanager 库(2.4)时遇到了类似的问题。具体来说,在创建了一个秘密并为我的服务帐户提供了这个秘密secretmanager.secretAccessor的角色(没有别的,遵循最小权限原则)之后,我在尝试访问它时遇到了以下错误:

details = "Permission 'secretmanager.versions.access' denied for resource 'projects/projectid/secrets/keyname/versions/latest' (or it may not exist)."

我只能通过secretmanager.viewer在项目级别添加角色来使其工作,据我所知,文档中没有描述。

于 2021-04-30T09:22:07.083 回答
1

我在 gitlab 下使用 terraform 时遇到了类似的问题。我必须向运行管道的服务帐户添加两个授权:

resource "google_project_iam_policy" "gitlab" {
  project     = "secret_owner_project_id"
  policy_data = data.google_iam_policy.iam.policy_data
}

data "google_iam_policy" "iam" {
  binding {
    role = "roles/secretmanager.secretAccessor"
    members = [
      "serviceAccount:project_accessing_secret@XYZ.iam.gserviceaccount.com",
    ]
  }
  binding {
    role = "roles/viewer"
    members = [
      "serviceAccount:project_accessing_secret@XYZ.iam.gserviceaccount.com",
    ]
  }
}
于 2021-06-17T09:22:12.000 回答
0

有点晚了,但也许这个答案可能对未来的用户有用。我只在 Python 中遇到了同样的行为。我尝试了很多东西,但唯一有效的是创建具有零角色的新服务帐户(如果我secretmanager.secretAccessor立即授予它角色,我得到了同样的错误)。然后,当创建空服务帐户时,在IAM选项卡中按+Add,复制我的空服务帐户地址,然后才添加secretmanager.secretAccessor角色。然后我将此帐户用作将执行特定功能的帐户。您当然可能需要添加其他角色,具体取决于您的功能要完成的任务。

于 2020-07-28T06:42:21.937 回答
0

OAuth 范围在这里起着重要作用,请确保正确定义范围。

要将 Secret Manager 与在 Compute Engine 或 GKE 上运行的工作负载一起使用,底层实例或节点必须具有云平台 OAuth 范围。如果您收到带有以下消息的错误,则表示实例或节点未配置正确的 OAuth 范围。

Request had insufficient authentication scopes

使用 Secret Manager 所需的 OAuth 范围是:

https://www.googleapis.com/auth/cloud-platform

用于创建具有范围的 dataproc 的示例 gcloud 命令

gcloud dataproc clusters create xyz-pqr --region asia-south1 --subnet projects/xyz-pqr/regions/asia-south1/subnetworks/abc-serverless-vpc --zone asia-south1-b --master-machine-type n1-standard-4 --master-boot-disk-size 100 --num-workers 2 --worker-machine-type n1-standard-4 --worker-boot-disk-size 100 --image-version 2.0-debian10 --project xyz-development -scopes https://www.googleapis.com/auth/cloud-platform
于 2021-12-30T06:41:38.187 回答