我想通过使用CloudRun部署的应用程序创建指向Google Cloud Storage资源的签名URL。
我遵循this指南,使用具有GCS角色的自定义服务帐户设置CloudRun。
我的目的是使用V4签名从CloudRun创建签名URL。此用例有一个a guide,其中文件service_account.json用于生成JWT配置。当我从Google的IAM下载文件时,这对我在localhost上有效。我想避免将此文件提交到存储库中,请使用我在CloudRun UI中提供的文件。
我希望CloudRun将此服务帐户文件注入(inject)到应用容器中,并使其可以在GOOGLE_APPLICATION_CREDENTIALS变量中访问,但事实并非如此。
您对此有何建议?谢谢你。

最佳答案

如您所说,Golang存储客户端库需要一个服务帐户json文件来对URL进行签名。
目前在GitHub中有一个feature request open,但是您应该可以通过我发现here:的示例来解决这个问题

import (
"context"
  "fmt"
  "time"
  "cloud.google.com/go/storage"
  "cloud.google.com/go/iam/credentials/apiv1"
  credentialspb "google.golang.org/genproto/googleapis/iam/credentials/v1"
)

const (
  bucketName = "bucket-name"
  objectName = "object"
  serviceAccount = "[PROJECTNUMBER][email protected]"
)

func main() {
  ctx := context.Background()

  c, err := credentials.NewIamCredentialsClient(ctx)
  if err != nil {
     panic(err)
  }

  opts := &storage.SignedURLOptions{
     Method: "GET",
     GoogleAccessID: serviceAccount,
     SignBytes: func(b []byte) ([]byte, error) {
        req := &credentialspb.SignBlobRequest{
            Payload: b,
            Name: serviceAccount,
        }
        resp, err := c.SignBlob(ctx, req)
        if err != nil {
           panic(err)
        }
        return resp.SignedBlob, err
     },
     Expires: time.Now().Add(15*time.Minute),
  }

  u, err := storage.SignedURL(bucketName, objectName, opts)
  if err != nil {
     panic(err)
  }

  fmt.Printf("\"%v\"", u)
}

关于go - 在CloudRun中创建V4签名的URL,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/64205103/

10-09 05:43