Метаданные экземпляра GCP не проходят через область видимости

Я пытаюсь смонтировать корзину хранилища GCP, используя gcsfuse и аутентификацию учетной записи службы. Все смонтировано нормально, но у меня есть только разрешение на чтение, см. Ниже;

hannel@gcpxxxxxxd1:~$ gcsfuse --dir-mode 777 --file-mode 777 test /testing
Using mount point: /testing
Opening GCS connection...
Opening bucket...
Mounting file system...
File system has been successfully mounted.
hannel@gcpxxxxxxd1:~$ ls /testing/
Huh...
hannel@gcpxxxxxd1:~$ echo "test" | sudo tee -a /testing/test.log
tee: /testing/test.log: Permission denied

Я подтверждаю, что учетная запись службы имеет полное разрешение администратора хранилища на запись в службу хранилища.

https://i.imgur.com/Q9MsiaB.png

Я подтверждаю, что служба метаданных экземпляра получает учетную запись службы

Изображение

https://i.imgur.com/AzNalRo.png

Единственная проблема, которую я вижу, это то, что вызов scopes из службы метаданных экземпляра, похоже, возвращает "странную" информацию https://www.googleapis.com/auth/cloud-platform

curl http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/[email protected]/scopes -H "Metadata-Flavor: Google"

Изображение

https://i.imgur.com/BYWY6Ha.png

Я действительно не хочу использовать обходной путь Key JSON

Вопросов:

Это проблема со знанием дела?

Я делаю что-то неправильно?

Любая помощь приветствуется


google-cloud-platform google-cloud-storage gcsfuse
person Hannel    schedule 13.07.2019    source источник
comment
Зайдите в Google Cloud Console. Выберите свою виртуальную машину. Что вы установили для областей доступа Cloud API в нижней части окна с подробными сведениями? Вам потребуется Разрешить полный доступ ко всем облачным API, что означает, что доступ контролируется служебной учетной записью Compute Engine.   -  person John Hanley    schedule 13.07.2019
comment
По умолчанию для областей Compute Engine установлено значение Только чтение для облачного хранилища.   -  person John Hanley    schedule 13.07.2019
comment
По умолчанию он настроен на полный и управляется IAM при использовании настраиваемой учетной записи службы. i.imgur.com/e1lRxs0.png   -  person Hannel    schedule 13.07.2019
comment
Настройки IAM по умолчанию для учетной записи службы Compute Engine по умолчанию - Разрешить доступ по умолчанию. Это означает, что многие API ограничены по объему.   -  person John Hanley    schedule 14.07.2019

Ответы (1)


arrow_upward
1
arrow_downward

Замыкание на этом.

Теперь он работает без изменений, я считаю, что проблема, должно быть, была в репликации разрешений IAM. Думаю, 15 минут было недостаточно, часы, кажется, сделали свое дело.

person Hannel    schedule 13.07.2019
comment
Привет, Ханнель, хорошая работа по поиску решения! Вы можете ответить самостоятельно? Это сделает его более заметным и поможет кому-то с той же проблемой, когда вы найдете решение. Спасибо! - person Pawel Czuczwara; 15.07.2019
comment
@PawelCzuczwara планирует это сделать. Есть время ожидания, чтобы отметить свой вопрос как ответ. - person Hannel; 15.07.2019