从云调度程序调用 Google 云函数时出现权限被拒绝错误
Getting permission denied error when calling Google cloud function from Cloud scheduler
我正在尝试调用 Google 云函数,它是由云调度程序触发的 Http。
但是每当我尝试 运行 云调度程序时,它总是说 Permsiion denies error
httpRequest: {
status: 403
}
insertId: "14igacagbanzk3b"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
jobName: "projects/***********/locations/europe-west1/jobs/twilio-cloud-scheduler"
status: "PERMISSION_DENIED"
targetType: "HTTP"
url: "https://europe-west1-********.cloudfunctions.net/function-2"
}
logName: "projects/*******/logs/cloudscheduler.googleapis.com%2Fexecutions"
receiveTimestamp: "2020-09-20T15:11:13.240092790Z"
resource: {
labels: {
job_id: "***********"
location: "europe-west1"
project_id: "**********"
}
type: "cloud_scheduler_job"
}
severity: "ERROR"
timestamp: "2020-09-20T15:11:13.240092790Z"
}
我试过的解决方案-
- 尝试按照某些用户的建议将 Google 云功能放在与 App 引擎相同的区域。
- 授予访问 Google 提供的云调度程序 sa service-****@gcp-sa-cloudscheduler.iamaccount .gserviceaccount.com 所有者角色和 Cloud Functions 管理员角色
- 我的云功能具有允许所有流量的入口设置。
我的云调度程序仅在我 运行 下面的命令
下才有效
gcloud 函数 add-iam-policy-binding 云函数 --member="allUsers" --role="roles/cloudfunctions.invoker"
在 Cloud Scheduler 页面上,您必须添加一个服务帐户以用于调用私有 Cloud Function。在 Cloud Scheduler 设置中,您必须
- 点击底部的
SHOW MORE
- Select
Add OIDC token 在 Auth Header 部分
- 在调度程序的服务帐户电子邮件中添加一个服务帐户电子邮件
- Audience填写与Cloud Functions相同的基础URL(部署时提供的URL)
调度程序的服务帐户电子邮件必须被授予角色 functions.Invoker
在我的案例中,问题与云功能的限制入口设置有关。我将其设置为 'allow internal traffic only',但这只允许来自使用 VPC 的服务的流量,而 Cloud Scheduler 不符合 doc 解释:
Internal-only HTTP functions can only be invoked by HTTP requests that are created within a VPC network, such as those from Kubernetes Engine, Compute Engine, or the App Engine Flexible Environment. This means that events created by or routed through Pub/Sub, Eventarc, Cloud Scheduler, Cloud Tasks and Workflows cannot trigger these functions.
所以正确的做法是:
- 将入口设置为 'all traffic'
- 删除具有 Cloud Function Invoker 角色的所有用户的权限
- 为创建的具有 Cloud Function Invoker 角色的服务帐户添加权限
- 或者只是在 IAM 控制台中为服务帐户全局设置该权限(您也可以在创建服务帐户时这样做)
我正在尝试调用 Google 云函数,它是由云调度程序触发的 Http。 但是每当我尝试 运行 云调度程序时,它总是说 Permsiion denies error
httpRequest: {
status: 403
}
insertId: "14igacagbanzk3b"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
jobName: "projects/***********/locations/europe-west1/jobs/twilio-cloud-scheduler"
status: "PERMISSION_DENIED"
targetType: "HTTP"
url: "https://europe-west1-********.cloudfunctions.net/function-2"
}
logName: "projects/*******/logs/cloudscheduler.googleapis.com%2Fexecutions"
receiveTimestamp: "2020-09-20T15:11:13.240092790Z"
resource: {
labels: {
job_id: "***********"
location: "europe-west1"
project_id: "**********"
}
type: "cloud_scheduler_job"
}
severity: "ERROR"
timestamp: "2020-09-20T15:11:13.240092790Z"
}
我试过的解决方案-
- 尝试按照某些用户的建议将 Google 云功能放在与 App 引擎相同的区域。
- 授予访问 Google 提供的云调度程序 sa service-****@gcp-sa-cloudscheduler.iamaccount .gserviceaccount.com 所有者角色和 Cloud Functions 管理员角色
- 我的云功能具有允许所有流量的入口设置。
我的云调度程序仅在我 运行 下面的命令
下才有效gcloud 函数 add-iam-policy-binding 云函数 --member="allUsers" --role="roles/cloudfunctions.invoker"
在 Cloud Scheduler 页面上,您必须添加一个服务帐户以用于调用私有 Cloud Function。在 Cloud Scheduler 设置中,您必须
- 点击底部的
SHOW MORE - Select
Add OIDC token在Auth Header部分 - 在调度程序的服务帐户电子邮件中添加一个服务帐户电子邮件
- Audience填写与Cloud Functions相同的基础URL(部署时提供的URL)
调度程序的服务帐户电子邮件必须被授予角色 functions.Invoker
在我的案例中,问题与云功能的限制入口设置有关。我将其设置为 'allow internal traffic only',但这只允许来自使用 VPC 的服务的流量,而 Cloud Scheduler 不符合 doc 解释:
Internal-only HTTP functions can only be invoked by HTTP requests that are created within a VPC network, such as those from Kubernetes Engine, Compute Engine, or the App Engine Flexible Environment. This means that events created by or routed through Pub/Sub, Eventarc, Cloud Scheduler, Cloud Tasks and Workflows cannot trigger these functions.
所以正确的做法是:
- 将入口设置为 'all traffic'
- 删除具有 Cloud Function Invoker 角色的所有用户的权限
- 为创建的具有 Cloud Function Invoker 角色的服务帐户添加权限
- 或者只是在 IAM 控制台中为服务帐户全局设置该权限(您也可以在创建服务帐户时这样做)