Как может служба Google Cloud Run для Anthos на GKE подключиться к Firestore в другом проекте другой организации?

Сделал сервис Cloud Run для Anthos на GKE. Затем я хочу подключить его к Firestore в проекте другой организации. Как можно подключиться к Firestore?

Я создал службу Cloud Run для Anthos на GKE в ProjectA организации A. Языком программирования сервиса Cloud Run является Java, библиотека google-cloud-firestore.

И я создал базу данных Firestore на ProjectB of OrganizationB (без организации).

А затем, попытавшись получить доступ к Cloud Run Service к FirestoreDB, я получил сообщение об ошибке вроде удара.

{"message":"Internal Server Error: com.google.api.gax.rpc.PermissionDeniedException: io.grpc.StatusRuntimeException: PERMISSION_DENIED: Missing or insufficient permissions."}

google-kubernetes-engine java google-cloud-firestore google-cloud-run google-anthos
person SpaceNet    schedule 27.09.2019    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Все зависит от ваших требований. В соответствии с этой страницей предоставьте учетной записи службы roles/datastore.user или roles/datastore.viewer в раздел IAM проекта B (нажмите «Добавить» и вставьте адрес электронной почты учетной записи службы).

В соответствии с вашим развертыванием GKE учетная запись службы может быть учетной записью службы вычислений по умолчанию (<projectNumber>[email protected]) или чем-то еще, если вы настроили свой кластер / идентификатор рабочей нагрузки

person guillaume blaquiere    schedule 27.09.2019
comment
Я поместил роли / datastore.owner в служебную учетную запись Compute Engine по умолчанию для projectA в проекте IAM. Вроде сработало, большое спасибо !! - person SpaceNet; 30.09.2019