Google CloudSQLAdmin - учетная запись службы не имеет необходимых разрешений для корзины - PullRequest
Новая
       35

Google CloudSQLAdmin - учетная запись службы не имеет необходимых разрешений для корзины

0 голосов
/ 15 февраля 2019

Я пишу функцию Python, которая использует учетные данные учетной записи службы для вызова API Google cloudSQLAdmin для экспорта базы данных в корзину.

Учетной записи службы предоставлены разрешения владельца проекта, а в корзине установлены разрешения для владельцев проекта.API sqlAdmin был включен для нашего проекта.

Код Python: 

from google.oauth2 import service_account
from googleapiclient.discovery import build
import googleapiclient
import json

def main():
    SCOPES = ['https://www.googleapis.com/auth/sqlservice.admin', 'https://www.googleapis.com/auth/cloud-platform', 'https://www.googleapis.com/auth/devstorage.full_control']
    SERVICE_ACCOUNT_FILE = './creds/service-account-credentials.json'
    PROJECT = "[REDACTED]"
    DB_INSTANCE = "[REDACTED]"
    BUCKET_PATH = "gs://[REDACTED]/[REDACTED].sql"
    DATABASES = [REDACTED]
    BODY = { # Database instance export request.
    "exportContext": { # Database instance export context. # Contains details about the export operation.
      "kind": "sql#exportContext", # This is always sql#exportContext.
      "fileType": "SQL", # The file type for the specified uri.
          # SQL: The file contains SQL statements.
          # CSV: The file contains CSV data.
      "uri": BUCKET_PATH, # The path to the file in Google Cloud Storage where the export will be stored. The URI is in the form gs://bucketName/fileName. If the file already exists, the requests succeeds, but the operation fails. If fileType is SQL and the filename ends with .gz, the contents are compressed.
      "databases": DATABASES,
    },
  }

    credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)
    sqladmin = googleapiclient.discovery.build('sqladmin', 'v1beta4', credentials=credentials)
    response = sqladmin.instances().export(project=PROJECT, instance=DB_INSTANCE, body=BODY).execute()
    print(json.dumps(response, sort_keys=True, indent=4))

Запуск этого кода приводит к следующей ошибке: 

Traceback (most recent call last):
  File "<string>", line 1, in <module>
  File "[REDACTED]/main.py", line 47, in hello_pubsub
    response = sqladmin.instances().export(project=PROJECT, instance=DB_INSTANCE, body=BODY).execute()
  File "/usr/local/lib/python3.7/site-packages/googleapiclient/_helpers.py", line 130, in positional_wrapper
    return wrapped(*args, **kwargs)
  File "/usr/local/lib/python3.7/site-packages/googleapiclient/http.py", line 851, in execute
    raise HttpError(resp, content, uri=self.uri)
googleapiclient.errors.HttpError: <HttpError 403 when requesting https://www.googleapis.com/sql/v1beta4/projects/[REDACTED]/instances/[REDACTED]/export?alt=json returned "The service account does not have the required permissions for the bucket.">

Я пробовал это в 2 проектах GCP, с несколькими учетными записями служб с различнымиразрешения.

Вопросы, связанные с данной: Доступ к учетной записи службы запрещен (проблема с разрешением?) При импорте файла CSV из облачного хранилища в облако sql - эта проблема была вызвана неправильными разрешениями, которые не должнырегистр здесь, поскольку учетная запись имеет права владельца проекта

1 Ответ

0 голосов
/ 29 марта 2019

Google Cloud использует систему управления идентификацией и доступом для управления ресурсами: IAM.

Каждый экземпляр Cloud SQL использует соответствующую учетную запись службы, у которой есть разрешения.Чтобы найти имя своей учетной записи службы Cloud SQL, перейдите по адресу:

Консоль> SQL> Имя экземпляра> Учетная запись службы

С этим именем учетной записи службы вы можете предоставитьразрешение на управление доступом для корзины , выбирая из: Администратор хранилища, Администратор объекта хранилища, Создатель объекта хранилища, Средство просмотра объекта хранилища.

Подробное описание ролей доступа к хранилищу включено в документацию .

...