Как сервис Google Cloud Run for Anthos в GKE может подключиться к Firestore в другом проекте другой организации?

Question

Я сделал сервис Cloud Run для Anthos на GKE.И затем, я хочу подключить его к Firestore по проекту другой организации.Как он может подключиться к Firestore?

Я создал сервис Cloud Run для Anthos в GKE на ProjectA из OrganizationA.Язык программирования сервиса Cloud Run - Java, библиотека google-cloud-firestore.

И я создал базу данных Firestore в ProjectB of OrganizationB (без организации).

И затем попытался получить доступ к службе облачного запуска к FirestoreDB, я получил сообщение об ошибке типа удара.

{"message":"Internal Server Error: com.google.api.gax.rpc.PermissionDeniedException: io.grpc.StatusRuntimeException: PERMISSION_DENIED: Missing or insufficient permissions."}

Answer 1

Все зависит от ваших требований.В соответствии с этой страницей предоставьте учетной записи службы значение roles/datastore.user или roles/datastore.viewer в разделе IAM проекта B (нажмите «Добавить» и вставьте адрес электронной почты учетной записи службы).

В соответствии с вашим развертыванием GKE учетная запись службы может быть учетной записью службы вычислений по умолчанию (<projectNumber>-compute@developer.gserviceaccount.com) или чем-то еще, если вы настроили свой кластер / Идентификатор рабочей нагрузки