无法从 Secrets Manager 访问机密

应用程序无法从 Secrets Manager 访问机密，错误信息提示缺少云平台范围。已验证服务帐户具有所有者角色，但仍出现相同错误。已将代码推送到存储库中，以重现此问题。

我已向机密管理器添加了一些机密，但尝试在运行时访问它们时出现以下错误：

rpc error: code = unauthenticated desc = transport: compute: received 500 `could not fetch uri /computemetadata/v1/instance/service-accounts/default/token?scopes=https%3a%2f%2fwww.googleapis.com%2fauth%2fcloud-platform

这是一个旧应用程序，我正在重新设置，所以我一定错过了权限中的某些内容。我通过包含项目 id 和密钥名称的完整路径访问密钥。

我已运行gcloud应用程序describe并验证其中列出的serviceaccount具有owner角色。我还将 owner 添加到 app engine 默认服务帐户。我也尝试过特定的 secret manager accessor 角色。

更新： 该服务与文档中用于访问机密的 golang 示例相匹配。它使用标准的谷歌库来创建客户端和请求。我没有明确配置身份验证，因此应用程序应使用此处所述的服务帐户。

秘密的路径看起来有效：

projects/<my-project-id>/secrets/MY_SECRET/versions/latest

错误消息表明它缺少云平台范围，但我没有看到任何具体配置，因为它是 google app engine。

更新 2： 我已经推送了一个重现此内容的存储库。它使用来自 google 的示例代码来访问机密，但失败并出现有关云平台范围的相同错误。

正确答案

为了对您的应用进行故障排除，我建议执行以下操作：

为了确保您部署到 app engine 的代码使用所需的帐户运行，我建议使用 Passing credentials using code 并在代码中明确指向您的服务帐户文件。

./project-folder
├── test.go
├── service-account-credentials.json
├── ...

新建一个项目文件夹，create a service account key并保存在该文件夹中。

使用以下代码测试您的服务帐户是否具有正确的权限，以排除 app engine 未使用正确帐户的问题。您可以检查您的 app engine 日志，以防出现问题。

package main

import (
    "context"
    "fmt"
    "log"
    "net/http"
    "os"

    secretmanager "cloud.google.com/go/secretmanager/apiv1"
    "google.golang.org/api/option"
    secretmanagerpb "google.golang.org/genproto/googleapis/cloud/secretmanager/v1"
    "google.golang.org/grpc/status"
)

// Your Project ID
const projectId = "project-id"
// Name of your secret
const secret = "secret"

func main() {
    // Path to your secret
    // The version can be a version number as a string (e.g. "5") or an
    // alias (e.g. "latest").
    name := fmt.Sprintf("projects/%s/secrets/%s/versions/latest", projectId, secret)
    
    ctx := context.Background()
    
    // Explicitly reads credentials from the specified path.
    // Create the client.
        client, err := secretmanager.NewClient(ctx,
        option.WithCredentialsFile("service-account-key.json"))
    if err != nil {
        log.Fatal("Failed to create secretmanager client\n")
        if s, ok := status.FromError(err); ok {
            log.Println(s.Message())
            for _, d := range s.Proto().Details {
                log.Println(d)
            }
        }
    }
    defer client.Close()

    // Build the request.
    req := &secretmanagerpb.AccessSecretVersionRequest{
        Name: name,
    }
    
    // accessSecretVersion accesses the payload for the given secret version if one exists.
    // Call the API.
    result, err := client.AccessSecretVersion(ctx, req)
    if err != nil {
        log.Fatal("Failed to access secret version\n")
        if s, ok := status.FromError(err); ok {
            log.Println(s.Message())
            for _, d := range s.Proto().Details {
                log.Println(d)
            }
        }
    }



    // WARNING: Do not print the secret in a production environment - this snippet
    // is showing how to access the secret material.
    log.Printf("Plaintext: %s\n", string(result.Payload.Data))

    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        fmt.Fprintf(w, `<h1>For testing purposes only.</h1>
        <h2>Do not use in production enviroments</h2>
        <p>Your secret is shown on Logs.<p>`)
    })

    port := os.Getenv("PORT")

    fmt.Printf("Starting server at port %s\n", port)
    if err := http.ListenAndServe(":"+port, nil); err != nil {
        log.Fatal(err)
    }
}   

如上所述，您的服务帐户必须使用向 secret manager 授予权限的 Owner 角色，才能访问 secret manager 中的密钥。

另请参阅

• Passing credentials manually
• Cloud APIs errors
• OAuth 2.0 Scopes for Google APIs

理论要掌握，实操不能落！以上关于《无法从 Secrets Manager 访问机密》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！