Bagaimanakah cara saya mengesahkan kepada GCP menggunakan kunci akaun perkhidmatan yang dimuat naik (tidak dijana)?

editor php Strawberry akan memperkenalkan anda secara terperinci cara menggunakan kunci akaun perkhidmatan yang dimuat naik untuk mengesahkan Google Cloud Platform (GCP). Pengesahan ialah langkah yang sangat penting dalam proses menggunakan GCP dan kunci akaun perkhidmatan ialah kunci kepada pengesahan. Artikel ini akan menerangkan kepada anda cara memuat naik kunci akaun perkhidmatan dan mengesahkannya dengan betul supaya anda boleh menggunakan pelbagai fungsi dan perkhidmatan GCP dengan lancar. Sama ada anda baru menggunakan GCP atau mempunyai sedikit pengalaman, artikel ini akan memberikan anda panduan dan petua yang berguna untuk memastikan anda dapat menyelesaikan proses pengesahan dengan mudah. Dengan membaca artikel ini, anda akan mempelajari langkah dan pertimbangan untuk memuat naik kunci akaun perkhidmatan dan cara menggunakan kunci ini dengan betul untuk pengesahan dalam GCP.

Kandungan soalan

Saya sedang menulis perkhidmatan yang memerlukan penyewa yang berbeza untuk mengakses perkhidmatan GCP. Perkhidmatan mikro saya akan berjalan pada hos yang berbeza (tiada GCP). Salah satu batasan yang saya hadapi ialah menggunakan kunci akaun perkhidmatan untuk membenarkan panggilan api. Kekangan kedua ialah perkhidmatan mikro saya bertanggungjawab menjana pasangan kunci untuk akaun perkhidmatan dan berkongsi kunci awam dengan penyewa supaya mereka boleh memuat naiknya ke akaun perkhidmatan mereka.

Masalah semasa saya ialah saya tidak dapat mencari sebarang dokumentasi yang menerangkan cara untuk mengesahkan ke pustaka golang GCP menggunakan pasangan kunci yang saya ada. Semua dokumentasi yang saya baca sentiasa menangani pengesahan kunci akaun perkhidmatan, dengan mengandaikan bahawa anda akan membenarkan GCP menjana pasangan kunci untuk anda dan anda sudah mempunyai fail json dengan semua butiran yang anda perlukan.

Dokumen yang saya semak:

- https://cloud.google.com/docs/authentication/client-libraries#adc
- https://cloud.google.com/docs/authentication#service-accounts
- https://cloud.google.com/docs/authentication/provide-credentials-adc#local-key
- https://github.com/GoogleCloudPlatform/golang-samples/blob/main/auth/id_token_from_service_account.go

Pustaka Google menggunakan mekanisme yang dipanggil "Kredential Lalai Aplikasi" yang membolehkan semua perpustakaannya mencari bukti kelayakan untuk pengesahan. Khususnya, dalam kes ini, ADC sentiasa memerlukan fail json untuk mendapatkan butiran kelayakan.

Fail

json kelihatan seperti ini:

<code>{
    "type": "service_account",
    "project_id": "my-project",
    "private_key_id": "1ed3aae07f98f3e6da78ad308b41232133d006cf",
    "private_key": "-----BEGIN PRIVATE KEY-----\n...==\n-----END PRIVATE KEY-----\n",
    "client_email": "<EMAIL HERE>",
    "client_id": "1234567890102",
    "auth_uri": "<GOOGLE AUTH URI HERE>",
    "token_uri": "<GOOGLE TOKEN URI HERE>",
    "auth_provider_x509_cert_url": "<SOME GOOGLE URL HERE>",
    "client_x509_cert_url": "<MORE GOOGLE URL HERE>",
    "universe_domain": "googleapis.com"
}
</code>

Jadi soalan saya ialah, bagaimana saya boleh membina fail json ini daripada pasangan kunci yang dijana? Jika ini tidak boleh dilakukan (had GCP), maka mengapa saya boleh memuat naik pasangan kunci? Bolehkah sesiapa menunjukkan saya kepada contoh untuk membantu saya menyelesaikan situasi ini?

Sebarang bantuan amatlah dihargai

Saya telah menyemak semua dokumentasi rasmi GCP, rujukan API dan contoh skrip Github. Tiada seorang pun daripada mereka merujuk kunci akaun perkhidmatan yang dimuat naik

Penyelesaian

Mengambil sedikit masa untuk kembali kepada isu ini. Terima kasih kepada jawapan @guillaume-blaquiere, saya mula menguji dengan fail yang diperlukan minimum.

Akhirnya muncul dengan ini:

{
  "type": "service_account",
  "private_key": "<Your generated private_key.pem>",
  "client_email": "<service account email>",
}

Ini adalah sifat minimum yang diperlukan oleh SDK Google untuk berjaya mengesahkan dengan GCP

Kunci persendirian mestilah sama yang digunakan untuk menjana kunci awam yang dimuat naik ke akaun perkhidmatan GCP.

Dari segi kod golang, anda boleh meletakkan maklumat ini ke dalam struktur dan kemudian menghuraikan struktur ke dalam json:

type JSONFile struct {
  Type     string `json:"type"`
  PrivKey  []byte `json:"private_key"`
  Email    string `json:"client_email"`
}

Kemudian:

file := JSONFile{
    Type:        "service_account",
    PrivKey:  "<PK bytes here>",
    Email: "<a href="https://www.php.cn/link/89fee0513b6668e555959f5dc23238e9" class="__cf_email__" data-cfemail="7d0e180f0b141e18501c1e1e120813095018101c14113d1a1e0d531e1210">[email&#160;protected]</a>",
}
result, err := json.Marshal(file)
if err != nil {
    panic(1)
}
credentials, err := google.CredentialsFromJSON(context.Background(), result, secretmanager.DefaultAuthScopes()...)
if err != nil {
    panic(1)
}
projectsClient, err := resourcemanager.NewProjectsClient(context.Background(), option.WithCredentials(credentials))

Atas ialah kandungan terperinci Bagaimanakah cara saya mengesahkan kepada GCP menggunakan kunci akaun perkhidmatan yang dimuat naik (tidak dijana)?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!