Wie authentifiziere ich mich bei GCP mit einem hochgeladenen (nicht generierten) Dienstkontoschlüssel?

php-Editor Strawberry stellt Ihnen ausführlich vor, wie Sie den hochgeladenen Dienstkontoschlüssel zur Authentifizierung der Google Cloud Platform (GCP) verwenden. Die Authentifizierung ist ein sehr wichtiger Schritt im Prozess der Verwendung von GCP, und der Dienstkontoschlüssel ist der Schlüssel zur Authentifizierung. In diesem Artikel erfahren Sie, wie Sie den Dienstkontoschlüssel hochladen und korrekt authentifizieren, damit Sie verschiedene Funktionen und Dienste der GCP reibungslos nutzen können. Unabhängig davon, ob Sie neu bei GCP sind oder bereits über Erfahrung verfügen, bietet Ihnen dieser Artikel nützliche Anleitungen und Tipps, um sicherzustellen, dass Sie den Authentifizierungsprozess problemlos abschließen können. Wenn Sie diesen Artikel lesen, lernen Sie die Schritte und Überlegungen zum Hochladen von Dienstkontoschlüsseln kennen und erfahren, wie Sie diese Schlüssel korrekt für die Authentifizierung in der GCP verwenden.

Frageninhalt

Ich schreibe einen Dienst, der verschiedene Mandanten erfordert, um auf GCP-Dienste zuzugreifen. Meine Microservices werden auf verschiedenen Hosts ausgeführt (kein GCP). Eine der Einschränkungen, mit denen ich konfrontiert bin, ist die Verwendung eines Dienstkontoschlüssels zum Autorisieren von API-Aufrufen. Die zweite Einschränkung besteht darin, dass mein Microservice dafür verantwortlich ist, das Schlüsselpaar für das Dienstkonto zu generieren und den öffentlichen Schlüssel mit den Mandanten zu teilen, damit diese ihn auf ihr Dienstkonto hochladen können.

Mein aktuelles Problem besteht darin, dass ich keine Dokumentation finden kann, die erklärt, wie ich mich mit dem Schlüsselpaar, das ich habe, bei der GCP-Golang-Bibliothek authentifizieren kann. In der gesamten Dokumentation, die ich gelesen habe, geht es immer um die Authentifizierung von Dienstkontoschlüsseln, vorausgesetzt, dass Sie GCP das Schlüsselpaar für Sie generieren lassen und dass Sie bereits über eine JSON-Datei mit allen benötigten Details verfügen.

Von mir überprüfte Dokumente:

- https://cloud.google.com/docs/authentication/client-libraries#adc
- https://cloud.google.com/docs/authentication#service-accounts
- https://cloud.google.com/docs/authentication/provide-credentials-adc#local-key
- https://github.com/GoogleCloudPlatform/golang-samples/blob/main/auth/id_token_from_service_account.go

Google Libraries verwendet einen Mechanismus namens „Application Default Credentials“, der es allen Bibliotheken ermöglicht, Anmeldeinformationen für die Authentifizierung zu finden. Konkret benötigt der ADC in diesem Fall immer die JSON-Datei, um die Details der Anmeldeinformationen abzurufen.

Die

json-Datei sieht folgendermaßen aus:

<code>{
    "type": "service_account",
    "project_id": "my-project",
    "private_key_id": "1ed3aae07f98f3e6da78ad308b41232133d006cf",
    "private_key": "-----BEGIN PRIVATE KEY-----\n...==\n-----END PRIVATE KEY-----\n",
    "client_email": "<EMAIL HERE>",
    "client_id": "1234567890102",
    "auth_uri": "<GOOGLE AUTH URI HERE>",
    "token_uri": "<GOOGLE TOKEN URI HERE>",
    "auth_provider_x509_cert_url": "<SOME GOOGLE URL HERE>",
    "client_x509_cert_url": "<MORE GOOGLE URL HERE>",
    "universe_domain": "googleapis.com"
}
</code>

Meine Frage ist also: Wie erstelle ich diese JSON-Datei aus dem generierten Schlüsselpaar? Wenn dies nicht möglich ist (GCP-Einschränkung), warum kann ich dann das Schlüsselpaar hochladen? Kann mir jemand ein Beispiel nennen, das mir hilft, diese Situation zu lösen?

Jede Hilfe wird sehr geschätzt

Ich habe alle offiziellen GCP-Dokumentationen, API-Referenzen und Github-Skriptbeispiele überprüft. Keiner von ihnen verwies auf den hochgeladenen Dienstkontoschlüssel.

Problemumgehung

Es hat einige Zeit gedauert, dieses Problem zu beheben. Dank der Antwort von @guillaume-blaquiere habe ich mit dem Testen mit den minimal erforderlichen Dateien begonnen.

Endlich ist mir das eingefallen:

{
  "type": "service_account",
  "private_key": "<Your generated private_key.pem>",
  "client_email": "<service account email>",
}

Dies sind die Mindesteigenschaften, die das Google SDK für eine erfolgreiche Authentifizierung bei GCP benötigt

Der private Schlüssel muss derselbe sein, der zum Generieren des öffentlichen Schlüssels verwendet wird, der auf das GCP-Dienstkonto hochgeladen wurde.

In Bezug auf Golang-Code können Sie diese Informationen in eine Struktur einfügen und die Struktur dann in JSON analysieren:

type JSONFile struct {
  Type     string `json:"type"`
  PrivKey  []byte `json:"private_key"`
  Email    string `json:"client_email"`
}

Dann:

file := JSONFile{
    Type:        "service_account",
    PrivKey:  "<PK bytes here>",
    Email: "<a href="https://www.php.cn/link/89fee0513b6668e555959f5dc23238e9" class="__cf_email__" data-cfemail="7d0e180f0b141e18501c1e1e120813095018101c14113d1a1e0d531e1210">[email&#160;protected]</a>",
}
result, err := json.Marshal(file)
if err != nil {
    panic(1)
}
credentials, err := google.CredentialsFromJSON(context.Background(), result, secretmanager.DefaultAuthScopes()...)
if err != nil {
    panic(1)
}
projectsClient, err := resourcemanager.NewProjectsClient(context.Background(), option.WithCredentials(credentials))

Das obige ist der detaillierte Inhalt vonWie authentifiziere ich mich bei GCP mit einem hochgeladenen (nicht generierten) Dienstkontoschlüssel?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!