我想通过使用CloudRun部署的应用程序创建指向Google Cloud Storage资源的签名URL。
我遵循this指南,使用具有GCS角色的自定义服务帐户设置CloudRun。
我的目的是使用V4签名从CloudRun创建签名URL。此用例有一个a guide,其中文件service_account.json
用于生成JWT配置。当我从Google的IAM下载文件时,这对我在localhost上有效。我想避免将此文件提交到存储库中,请使用我在CloudRun UI中提供的文件。
我希望CloudRun将此服务帐户文件注入(inject)到应用容器中,并使其可以在GOOGLE_APPLICATION_CREDENTIALS
变量中访问,但事实并非如此。
您对此有何建议?谢谢你。
最佳答案
如您所说,Golang存储客户端库需要一个服务帐户json文件来对URL进行签名。
目前在GitHub中有一个feature request open,但是您应该可以通过我发现here:的示例来解决这个问题
import (
"context"
"fmt"
"time"
"cloud.google.com/go/storage"
"cloud.google.com/go/iam/credentials/apiv1"
credentialspb "google.golang.org/genproto/googleapis/iam/credentials/v1"
)
const (
bucketName = "bucket-name"
objectName = "object"
serviceAccount = "[PROJECTNUMBER][email protected]"
)
func main() {
ctx := context.Background()
c, err := credentials.NewIamCredentialsClient(ctx)
if err != nil {
panic(err)
}
opts := &storage.SignedURLOptions{
Method: "GET",
GoogleAccessID: serviceAccount,
SignBytes: func(b []byte) ([]byte, error) {
req := &credentialspb.SignBlobRequest{
Payload: b,
Name: serviceAccount,
}
resp, err := c.SignBlob(ctx, req)
if err != nil {
panic(err)
}
return resp.SignedBlob, err
},
Expires: time.Now().Add(15*time.Minute),
}
u, err := storage.SignedURL(bucketName, objectName, opts)
if err != nil {
panic(err)
}
fmt.Printf("\"%v\"", u)
}
关于go - 在CloudRun中创建V4签名的URL,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/64205103/